Deno socket 会话数据污染漏洞 (CVE-2024-27935)

漏洞类型 对错误会话暴露数据元素 发现时间 2024-03-21 漏洞等级 高危
MPS编号 MPS-4dbm-51vn CVE编号 CVE-2024-27935 漏洞影响广度 一般

漏洞危害

OSCS 描述
Deno 是开源的一个简单、现代且安全的 JavaScript 和 TypeScript 运行环境。
在 Deno 的 Node.js 兼容运行环境中,由于 stream_wrap.ts 中重用全局缓冲区(BUF)来执行 socket 或文件源的 Node.js 流的异步读取操作时,使用 #read() 方法来读取全局缓冲区中的数据,导致所有读取操作共用同一缓冲区,从而引发了数据隔离的失败,使得某一会话的数据有可能被错误地传送到另一会话中。攻击者可以通过创建socket读取全局缓冲区中的敏感信息。
该漏洞不会影响使用 Deno.listen 和 Deno.connect API 创建的 Deno 网络流。
参考链接:https://www.oscs1024.com/hd/MPS-4dbm-51vn

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
deno (-∞, 1.36.3) 升级 升级deno到 1.36.3 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-4dbm-51vn

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-4dbm-51vn

https://nvd.nist.gov/vuln/detail/CVE-2024-27935

https://github.com/denoland/deno/commit/3e9fb8aafd9834ebacd27734cea4310caaf794c6

https://github.com/denoland/deno/issues/20188

https://github.com/denoland/deno/security/advisories/GHSA-wrqv-pf6j-mqjp

(0)
上一篇 2024年3月21日 下午6:00
下一篇 2024年3月25日 下午12:00

相关推荐

  • WordPress插件 WP Sessions Time Monitoring Full Automatic<1.0.9 Sql注入漏洞 (CVE-2023-5203)

    漏洞类型 SQL注入 发现时间 2023-12-29 漏洞等级 高危 MPS编号 MPS-s92y-4j6l CVE编号 CVE-2023-5203 漏洞影响广度 极小 漏洞危害 OSCS 描述 WP Sessions Time Monitoring Full Automatic 是 WordPress 中用于统计页面和用户活动时间的插件。 WP Sessi…

    2023年12月29日
    0
  • Apache DolphinScheduler<3.2.1 任意代码执行漏洞 (CVE-2024-23320)

    漏洞类型 输入验证不恰当 发现时间 2024-02-24 漏洞等级 严重 MPS编号 MPS-t2ir-al41 CVE编号 CVE-2024-23320 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Dolphinscheduler 是开源的分布式任务调度系统。 受影响版本中,由于 SwitchTaskUtils#generateConten…

    2024年2月26日
    0
  • Mlflow Jinja2 模版注入漏洞 (CVE-2023-6940)

    漏洞类型 命令注入 发现时间 2023-12-20 漏洞等级 严重 MPS编号 MPS-qdjk-tr3g CVE编号 CVE-2023-6940 漏洞影响广度 漏洞危害 OSCS 描述 MLflow 是用于机器学习全生命周期管理的开源工具。 MLflow受影响版本中存在模版注入漏洞。在render_and_merge_yaml方法中,该函数用于渲染和合并基…

    2023年12月21日
    0
  • Transformers RagRetriever 反序列化漏洞 (CVE-2023-6730)

    漏洞类型 反序列化 发现时间 2023-12-19 漏洞等级 严重 MPS编号 MPS-qedl-r8y7 CVE编号 CVE-2023-6730 漏洞影响广度 广 漏洞危害 OSCS 描述 Transformers是一个自然语言处理(NLP)库,它提供了大量预训练的深度学习模型和用于处理文本数据的工具。 在RagRetriever模型中,存在绕过Huggi…

    2023年12月21日
    0
  • Google Chrome Navigation模块存在UAF漏洞 (CVE-2023-6112)

    漏洞类型 UAF 发现时间 2023-11-15 漏洞等级 高危 MPS编号 MPS-2wq5-6am8 CVE编号 CVE-2023-6112 漏洞影响广度 一般 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器,Navigation模块是其中负责处理网络通信、响应数据处理和渲染的重要模块。 由于MaybeSta…

    2023年11月16日
    0