文章总结： Deno曝出CVE-2026-22863与CVE-2026-22864两个高危漏洞。前者因node:crypto层缺陷可致密钥泄露；后者允许Windows平台通过修改.BAT后缀大小写绕过安全限制执行任意代码。建议立即升级至Denov2.6.0或更高版本修复。 综合评分： 91 文章分类： 漏洞预警,应用安全,网络安全

【安全圈】Deno 曝出高危漏洞（CVE-2026-22863 和 CVE-2026-22864）可导致密钥泄露与任意代码执行

安全圈

2026年1月19日 19:00 江苏

关键词

黑客

以”默认安全”架构著称的现代 JavaScript/TypeScript 运行时 Deno 近日曝出两个重大安全漏洞。这些漏洞分别影响运行时的加密兼容性和 Windows 平台命令执行功能，可能导致服务器敏感密钥泄露并允许攻击者执行任意代码。

加密模块漏洞（CVE-2026-22863）

其中最严重的 CVE-2026-22863 漏洞 CVSS 评分高达 9.2，存在于 Deno 的 node:crypto 兼容层中——该模块旨在让 Deno 能够运行为 Node.js 编写的代码。

根据安全公告，node:crypto 实现未能正确终止加密操作。在标准加密流程中，final() 方法本应结束加密过程并清理状态。但在受影响版本中，该方法会使加密流保持开启状态，实质上允许”无限加密”。

报告指出，这种状态管理缺陷”可能导致暴力破解尝试，以及更精细的攻击手段以获取服务器密钥”。分析报告中提供的 PoC 显示，调用 cipher.final() 会产生一个仍保持活动状态且内部缓冲可访问的 Cipheriv 对象，而非预期的已关闭 CipherBase 对象。

Windows 命令执行漏洞（CVE-2026-22864）

第二个漏洞 CVE-2026-22864 影响 Deno 在 Windows 平台创建子进程的能力。分析报告详细描述了通过 Deno.Command API 执行批处理文件时”绕过已修复漏洞”的方法。

Deno 本应具备防止子进程注入攻击的安全机制。当用户尝试直接运行 .bat 文件时，Deno 通常会抛出 PermissionDenied 错误，提示开发者”使用 shell 执行 bat 或 cmd 文件”以确保参数安全处理。

但研究人员发现可通过修改文件扩展名大小写（特别是.BAT）或操纵命令参数来绕过限制。报告中的 PoC 截图显示，攻击者能通过在批处理文件执行环境中注入参数（args: [“&calc.exe”]）成功运行 calc.exe（Windows 计算器），实现在主机上执行任意代码。

修复建议

用户应立即升级至 Deno v2.6.0 或更高版本以修复这些漏洞。

END

阅读推荐

【安全圈】入侵网站盗数据、跨境牟利触法网！两名犯罪嫌疑人被云南网警抓获

【安全圈】潜伏 5 年、装机量超 84 万！这款浏览器恶意插件竟靠一张图片瞒天过海

【安全圈】32 万人信息遭泄露！这所大学曝重大数据窃密案，黑客潜伏近两周竟无人察觉

【安全圈】男子利用购物平台漏洞窃取用户信息并骗取佣金1878万被判刑

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】Deno 曝出高危漏洞（CVE-2026-22863 和 CVE-2026-22864）可导致密钥泄露与任意代码执行》