CVE-2025-24015 in deno
Riassunto
di VulDB • 30/06/2026
Deno è un runtime per JavaScript, TypeScript e WebAssembly con impostazioni di sicurezza predefinite. Le versioni dalla 1.46.0 alla 2.1.6 presentano un problema che interessa AES-256-GCM e AES-128-GCM in Deno, in cui il tag di autenticazione non viene validato. Ciò significa che i ciphertext manipolati o le chiavi errate potrebbero non essere rilevati, violando le garanzie previste da AES-GCM. Le versioni più vecchie di Deno generavano correttamente errori in tali casi, come fa anche Node.js. Senza la verifica del tag di autenticazione, AES-GCM si degrada essenzialmente alla modalità CTR, rimuovendo la protezione dell'integrità. Anche i dati autenticati impostati con set_aad sono interessati, poiché vengono incorporati nell'hash GCM (ghash), ma anche questi non vengono validati, rendendo inefficaci i controlli AAD. La versione 2.1.7 include una patch che risolve questo problema.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.