CVE-2025-24015 in deno
Zusammenfassung
von VulDB • 01.07.2026
Deno ist eine JavaScript-, TypeScript- und WebAssembly-Laufzeitumgebung mit sicheren Standardwerten. Die Versionen von 1.46.0 bis 2.1.6 weisen ein Problem bei AES-256-GCM und AES-128-GCM in Deno auf, bei dem der Authentifizierungstag (Authentication Tag) nicht validiert wird. Dies bedeutet, dass manipulierte Chiffretexte oder falsche Schlüssel möglicherweise nicht erkannt werden, was die von AES-GCM erwarteten Garantien bricht. Ältere Versionen von Deno warfen in solchen Fällen korrekt Fehler aus, ebenso wie Node.js. Ohne die Überprüfung des Authentifizierungstags degradiert AES-GCM im Wesentlichen zum CTR-Modus und verliert dabei den Integritätsschutz. Auch mit set_aad festgelegte authentifizierte Daten sind betroffen, da sie in den GCM-Hash (ghash) einfließen, dieser jedoch ebenfalls nicht validiert wird, wodurch die AAD-Prüfungen unwirksam werden. Die Version 2.1.7 enthält einen Patch, der dieses Problem behebt.
If you want to get best quality of vulnerability data, you may have to visit VulDB.