製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Deno Land Inc.のDenoにおける重要な情報の平文での送信に関する脆弱性

タイトル	Deno Land Inc.のDenoにおける重要な情報の平文での送信に関する脆弱性
概要	DenoはJavaScript、TypeScript、およびWebAssemblyの実行環境です。バージョン2.0.0から2.7.8の間、DenoのNode.js TLS互換レイヤーに欠陥があり、接続再試行後にTLSクライアントがアプリケーションデータを平文で送信してしまう可能性がありました。autoSelectFamilyが有効で最初のアドレスファミリーの試行に失敗した場合、ソケットの再初期化処理で元の失敗したハンドルにバインドされていた古いTLSアップグレードフックが再利用されていました。その結果、交換されたTCP接続はTLSにアップグレードされず、secureConnectイベントより前にアプリケーションが書き込んだデータが暗号化されずにネットワーク上を送信されてしまいました。初回の接続試行を意図的に失敗させることができるネットワーク攻撃者（例えばデュアルスタックホストでIPv6トラフィックをドロップするなど）は、このフォールバック経路を確実に誘発させ、アプリケーションがTLSで保護されていると信じていたトラフィックを観察または改ざん可能でした。この脆弱性はバージョン2.7.8で修正されました。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月23日0:00
登録日	2026年6月29日11:18
最終更新日	2026年6月29日11:18

CVSS3.0 : 緊急
スコア	9.1
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44726	https://www.cve.org/CVERecord?id=CVE-2026-44726
National Vulnerability Database (NVD)
2	CVE-2026-44726	https://nvd.nist.gov/vuln/detail/CVE-2026-44726

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-319	https://cwe.mitre.org/data/definitions/319.html

ベンダー情報

No	名前	URL
GitHub
1	TLS retry copies stale upgrade hook, risking plaintext traffic Advisory denoland/deno GitHub	https://github.com/denoland/deno/security/advisories/GHSA-chqv-56wv-7564

変更履歴

No	変更内容	変更日
1	[2026年06月29日] 掲載	2026年6月29日11:18

NVD脆弱性情報

CVE-2026-44726

概要	Deno is a JavaScript, TypeScript, and WebAssembly runtime. From 2.0.0 until 2.7.8, a flaw in Deno's Node.js tls compatibility layer could cause a TLS client to transmit application data in plaintext after a connection retry. When `autoSelectFamily was enabled and the first address-family attempt failed, the socket reinitialization path reused a stale TLS upgrade hook that was bound to the original, failed handle. As a result, the replacement TCP connection was never upgraded to TLS, and any data the application wrote before the secureConnect event travelled over the network unencrypted. A network attacker positioned to cause the initial connection attempt to fail (for example, by dropping IPv6 traffic on a dual-stack host) could deterministically trigger the fallback path and observe or tamper with traffic that the application believed was TLS-protected. This vulnerability is fixed in 2.7.8.
公表日	2026年6月24日3:17
登録日	2026年6月27日4:14
最終更新日	2026年6月27日3:11

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:deno:deno::::::::		2.0.0			2.7.8

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/denoland/deno/security/advisories/GHSA-chqv-56wv-7564	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-319	重要な情報の平文での送信	https://cwe.mitre.org/data/definitions/319.html