一、基本情况描述
近日,检测发现 Deno 修复了两个高危漏洞,分别为:加密模块漏洞(CVE-2026-22863)和任意代码执行漏洞(CVE-2026-22864)。
加密模块漏洞(CVE-2026-22863)CVSS 评分高达 9.2,存在于Deno 的 node:crypto 兼容层中。node:crypto 实现未能正确终止加密操作。在标准加密流程中,final() 方法本应结束加密过程并清理状态。但在受影响版本中,该方法会使加密流保持开启状态,实质上允许"无限加密"。这种状态管理缺陷可能导致暴力破解,以及更精细的攻击手段以获取服务器密钥。
任意代码执行漏洞(CVE-2026-22864)CVSS 评分为 8.1。攻击者可通过修改文件扩展名大小写(特别是.BAT)或操纵命令参数来绕过限制。POC 中通过在批处理文件执行环境中注入参数(args:["&calc.exe"])成功运行 calc.exe(Windows 计算器),实现在主机上执行任意代码。
二、受影响产品
Deno<v2.6.0
三、修复方式
Deno 官方已修复漏洞(https://github.com/denoland/deno/releases)。建议升级至 Deno v2.6.0 或更高版本。
四、响应处置要求
请各单位立即排查 Deno 使用情况,及时升级版本修复漏洞,做好网络安全加固,消除风险隐患。