| Title | Deno Land Inc.のDenoにおける重要な情報の平文での送信に関する脆弱性 |
|---|---|
| Summary | DenoはJavaScript、TypeScript、およびWebAssemblyの実行環境です。バージョン2.0.0から2.7.8の間、DenoのNode.js TLS互換レイヤーに欠陥があり、接続再試行後にTLSクライアントがアプリケーションデータを平文で送信してしまう可能性がありました。autoSelectFamilyが有効で最初のアドレスファミリーの試行に失敗した場合、ソケットの再初期化処理で元の失敗したハンドルにバインドされていた古いTLSアップグレードフックが再利用されていました。その結果、交換されたTCP接続はTLSにアップグレードされず、secureConnectイベントより前にアプリケーションが書き込んだデータが暗号化されずにネットワーク上を送信されてしまいました。初回の接続試行を意図的に失敗させることができるネットワーク攻撃者(例えばデュアルスタックホストでIPv6トラフィックをドロップするなど)は、このフォールバック経路を確実に誘発させ、アプリケーションがTLSで保護されていると信じていたトラフィックを観察または改ざん可能でした。この脆弱性はバージョン2.7.8で修正されました。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 23, 2026, midnight |
| Registration Date | June 29, 2026, 11:18 a.m. |
| Last Update | June 29, 2026, 11:18 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
June 29, 2026, 11:18 a.m. |
| Summary | Deno is a JavaScript, TypeScript, and WebAssembly runtime. From 2.0.0 until 2.7.8, a flaw in Deno's Node.js tls compatibility layer could cause a TLS client to transmit application data in plaintext after a connection retry. When `autoSelectFamily was enabled and the first address-family attempt failed, the socket reinitialization path reused a stale TLS upgrade hook that was bound to the original, failed handle. As a result, the replacement TCP connection was never upgraded to TLS, and any data the application wrote before the secureConnect event travelled over the network unencrypted. A network attacker positioned to cause the initial connection attempt to fail (for example, by dropping IPv6 traffic on a dual-stack host) could deterministically trigger the fallback path and observe or tamper with traffic that the application believed was TLS-protected. This vulnerability is fixed in 2.7.8. |
|---|---|
| Publication Date | June 24, 2026, 3:17 a.m. |
| Registration Date | June 27, 2026, 4:14 a.m. |
| Last Update | June 27, 2026, 3:11 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:deno:deno:*:*:*:*:*:*:*:* | 2.0.0 | 2.7.8 | |||