CVE-2026-22864: Deno-Schwachstelle umgeht Batch-Datei-Blockade
⚠️ CVE-Referenzen:
CVE-2026-22864
Zusammenfassung
In Deno, einer JavaScript-, TypeScript- und WebAssembly-Laufzeitumgebung, konnte vor Version 2.5.6 eine Sicherheitslücke ausgenutzt werden, um die Sperre für das Starten von Windows-Batch-/Shellskripts zu umgehen. Der zuvor eingeführte Patch führte einen Fall-sensitiven Vergleich durch, der mit Groß-/Kleinschreibung variierende Dateinamen-Erweiterungen (.BAT, .Bat, etc.) nicht erkannte. Diese Schwachstelle wurde in Version 2.5.6 behoben.
Deno is a JavaScript, TypeScript, and WebAssembly runtime. Before 2.5.6, a prior patch aimed to block spawning Windows batch/shell files by returning an error when a spawned path’s extension matched .bat or .cmd. That check performs a case-sensitive comparison against lowercase literals and therefore can be bypassed when the extension uses alternate casing (for example .BAT, .Bat, etc.). This vulnerability is fixed in 2.5.6.
Quelle: app.opencve.io