CVE-2025-24015 in denoinfo

Zusammenfassung

von VulDB • 01.07.2026

Deno ist eine JavaScript-, TypeScript- und WebAssembly-Laufzeitumgebung mit sicheren Standardwerten. Die Versionen von 1.46.0 bis 2.1.6 weisen ein Problem bei AES-256-GCM und AES-128-GCM in Deno auf, bei dem der Authentifizierungstag (Authentication Tag) nicht validiert wird. Dies bedeutet, dass manipulierte Chiffretexte oder falsche Schlüssel möglicherweise nicht erkannt werden, was die von AES-GCM erwarteten Garantien bricht. Ältere Versionen von Deno warfen in solchen Fällen korrekt Fehler aus, ebenso wie Node.js. Ohne die Überprüfung des Authentifizierungstags degradiert AES-GCM im Wesentlichen zum CTR-Modus und verliert dabei den Integritätsschutz. Auch mit set_aad festgelegte authentifizierte Daten sind betroffen, da sie in den GCM-Hash (ghash) einfließen, dieser jedoch ebenfalls nicht validiert wird, wodurch die AAD-Prüfungen unwirksam werden. Die Version 2.1.7 enthält einen Patch, der dieses Problem behebt.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

16.01.2025

Veröffentlichung

04.06.2025

Moderieren

akzeptiert

Eintrag

VDB-311051

CPE

bereit

EPSS

0.00240

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!