Origine : bjCSIRT
Numéro : 2025/ALERTE/063
Date de l’alerte : 10/10/2025
APERÇU :
Une exécution de code à distance a été identifiée dans Deno, et permettrait à un acteur malveillant d’exécuter du code à distance dans les systèmes Windows.
DESCRIPTION :
Deno est un moteur d’exécution sécurisé pour JavaScript et TypeScript qui permet aux développeurs d’exécuter des scripts et des applications. Il offre une série de fonctionnalités, notamment le chargement de modules, l’accès au système de fichiers et les capacités réseau.
Ce logiciel est affecté par une vulnérabilité libellée CVE-2025–61787 qui permettrait à un acteur malveillant d’exécuter des commandes sur un système windows vulnérable. Lorsqu’un fichier batch est exécuté, Windows lance implicitement ‘cmd.exe’, ce qui permet d’injecter des commandes arbitraires si les arguments fournis ne sont pas correctement analysés.
Cette vulnérabilité est classée élevée avec un score de sévérité de 8.1 selon le CVSS V3.1.
IMPACT :
- Exécution de code à distance ;
- Compromission de l’intégrité du système ;
- Atteinte à la disponibilité ;
- Atteinte à la confidentialité des données.
SYSTÈMES AFFECTÉS :
- Les versions de Deno antérieures à 2.2.15 et 2.5.3 ;
MESURES À PRENDRE :
Mettre à jour Deno vers les versions 2.2.15, 2.5.3 ou ultérieures
RÉFÉRENCES :
