CVE-2025-24015 in denoinformazioni

Riassunto

di VulDB • 30/06/2026

Deno è un runtime per JavaScript, TypeScript e WebAssembly con impostazioni di sicurezza predefinite. Le versioni dalla 1.46.0 alla 2.1.6 presentano un problema che interessa AES-256-GCM e AES-128-GCM in Deno, in cui il tag di autenticazione non viene validato. Ciò significa che i ciphertext manipolati o le chiavi errate potrebbero non essere rilevati, violando le garanzie previste da AES-GCM. Le versioni più vecchie di Deno generavano correttamente errori in tali casi, come fa anche Node.js. Senza la verifica del tag di autenticazione, AES-GCM si degrada essenzialmente alla modalità CTR, rimuovendo la protezione dell'integrità. Anche i dati autenticati impostati con set_aad sono interessati, poiché vengono incorporati nell'hash GCM (ghash), ma anche questi non vengono validati, rendendo inefficaci i controlli AAD. La versione 2.1.7 include una patch che risolve questo problema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

16/01/2025

Divulgazione

04/06/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00240

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!