支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-22863 基础信息
漏洞信息
                                        # Deno node:crypto 加密未完成漏洞

## 概述
Deno 在 2.6.0 之前版本中,`node:crypto` 模块未正确终止(finalize)加密操作,导致存在安全漏洞。

## 影响版本
2.6.0 之前的所有版本。

## 细节
`node:crypto` 模块在处理加密时未调用 finalize 方法,导致加密上下文未正确清理,允许攻击者持续进行无限次加密操作。

## 影响
攻击者可利用该漏洞发起暴力破解尝试,或实施更复杂的攻击以推断和获取服务器的敏感信息(如密钥等秘密数据)。该问题已在 2.6.0 版本中修复。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Deno node:crypto doesn't finalize cipher
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Deno is a JavaScript, TypeScript, and WebAssembly runtime. Before 2.6.0, node:crypto doesn't finalize cipher. The vulnerability allows an attacker to have infinite encryptions. This can lead to naive attempts at brute forcing, as well as more refined attacks with the goal to learn the server secrets. This vulnerability is fixed in 2.6.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
缺少必要的密码学步骤
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-22863 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-22863 的情报信息

  • 标题: Release v2.6.0 · denoland/deno · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            - **发布时间**: 2025年12月11日
- **版本号**: v2.6.0
- **关键信息**:
  - **Breaking Change**: 
    - `deno install -g` 现在要求 `--name` 参数以安装脚本(#31292)
  - **新特性**:
    - 添加了 `approve-scripts` 子命令(#31472)
    - 在调用堆栈中过滤掉常见的内部框架,减少噪声(#31247)
    - 在堆栈跟踪中用灰色显示工作目录,相对路径显示在 `check` 和 `compile` 输出中(#31194)
  - **改进与修复**:
    - 修复了 `deno audit` 不再解开输入并支持运行生命周期脚本(#31106)
    - 添加了对 `Float16Array` 的支持(#31410)
    - 修复了在 `crypto.Cipheriv` 中的自动填充行为(#31389)
    - 修复了在 `StatementSync` 方法调用后连接已关闭时的段错误(#31331)
    - 修复了 `fs.readFile` 和 `fs.readFileSync` 的 `flag` 选项(#31129)

- **相关链接**: [deno.com/blog/v2.6](http://deno.com/blog/v2.6)
    Release v2.6.0 · denoland/deno · GitHub

  • 标题: `node:crypto` doesn't finalize cipher · Advisory · denoland/deno · GitHub -- 🔗来源链接

    标签:x_refsource_CONFIRM

    神龙速读:
                                            ### 漏洞关键信息

#### 概要
- **漏洞ID**: GHSA-5379-f5hf-w38v
- **CVE ID**: CVE-2026-22863
- **发布时间**: 4 days ago

#### 严重性
- **严重等级**: Critical (CVSS v4: 9.2/10)

#### 影响版本
- **受影响版本**: <= 2.5.6
- **修复版本**: 2.6.0

#### 漏洞描述
- **摘要**: 该漏洞允许攻击者进行无限加密。
  - 可能导致简单的暴力破解尝试,以及更复杂的攻击。
- **漏洞类型**: CWE-325

#### 漏洞利用
- **攻击向量**: Network
- **攻击复杂度**: Low
- **攻击需求**: None
- **所需权限**: None
- **用户交互**: None

#### 影响
- **机密性**: High
- **完整性**: None
- **可用性**: None

#### 修复建议
- 所有用户应升级到Deno v2.6.0或更高版本。
    `node:crypto` doesn't finalize cipher · Advisory · denoland/deno · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2026-22863
四、漏洞 CVE-2026-22863 的评论

暂无评论

发表评论