Deno — это среда выполнения JavaScript, TypeScript и WebAssembly. С версий 2.7.0 по 2.7.1 в полифиле Node:child_process Deno существует уязвимость внедрения команд (оболочка: режим true), которая обходит исправление CVE-2026-27190. Двухэтапная очистка аргументов в TransformDenoShellCommand (ext/node/polyfills/internal/child_process.ts) имеет ошибку приоритета: когда аргумент содержит шаблон $VAR, он заключен в двойные кавычки (L1290) вместо одинарных кавычек.
Двойные кавычки в POSIX sh не подавляют замену команд обратным кавычком, позволяя выполнять введенные команды. Злоумышленник, контролирующий аргументы, передаваемые в spawnSync или spawn с помощью оболочки: true, может выполнять произвольные команды ОС, минуя систему разрешений Deno. Эта уязвимость исправлена в версии 2.7.2.
Показать оригинальное описание (EN)
Deno is a JavaScript, TypeScript, and WebAssembly runtime. From 2.7.0 to 2.7.1, A command injection vulnerability exists in Deno's node:child_process polyfill (shell: true mode) that bypasses the fix for CVE-2026-27190. The two-stage argument sanitization in transformDenoShellCommand (ext/node/polyfills/internal/child_process.ts) has a priority bug: when an argument contains a $VAR pattern, it is wrapped in double quotes (L1290) instead of single quotes. Double quotes in POSIX sh do not suppress backtick command substitution, allowing injected commands to execute. An attacker who controls arguments passed to spawnSync or spawn with shell: true can execute arbitrary OS commands, bypassing Deno's permission system. This vulnerability is fixed in 2.7.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Deno Deno
cpe:2.3:a:deno:deno:*:*:*:*:*:*:*:*
|
2.7.0
|
2.7.2
|