CVE-2026-49401— Deno 在 macOS (APFS) 上因 Unicode 归一化不匹配导致权限绕过漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-49401 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Deno Permission Bypass via Unicode Normalization Mismatch on macOS (APFS)
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Deno is a JavaScript, TypeScript, and WebAssembly runtime. Prior to 2.7.14, Deno's permission system enforces filesystem and execution restrictions by comparing the requested path against the path supplied to --deny-read, --deny-write, --deny-run, or --deny-ffi. On macOS, that comparison was done at the raw-byte level while the APFS filesystem treats different Unicode spellings of the same name as the same file. That means a program could reach a denied path by spelling it differently than the deny rule. This vulnerability is fixed in 2.7.14.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
对路径等价的解析不恰当
来源: 美国国家漏洞数据库 NVD
受影响产品
二、漏洞 CVE-2026-49401 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-49401 的情报信息
请登录查看更多情报信息。
CVE-2026-49401 其他参考 (1)
同批安全公告 · denoland · 2026-06-23 · 共 10 条
| CVE-2026-49402 | 8.1 HIGH | Deno Windows spawnSync/spawn 命令注入漏洞 |
| CVE-2026-49440 | 7.4 HIGH | Deno Miller-Rabin素性测试允许零轮次漏洞 |
| CVE-2026-44726 | 7.4 HIGH | Deno TLS重试复制过期升级钩子,存在明文流量风险 |
| CVE-2026-49411 | 6.5 MEDIUM | Deno TCPWrap 域名别名绕过网络限制 |
| CVE-2026-49406 | 5.5 MEDIUM | Deno BYONM 模块解析允许通过 package.json 主路径遍历绕过 --allow-read 限制 |
| CVE-2026-49983 | 5.2 MEDIUM | Deno process.loadEnvFile() 绕过环境权限检查漏洞 |
| CVE-2026-49860 | 5.2 MEDIUM | Deno WebSocket API因缺少DNS检查导致沙盒绕过漏洞 |
| CVE-2026-49859 | 5.2 MEDIUM | Deno fetch() API 因缺失DNS检查导致沙箱绕过漏洞 |
| CVE-2026-55517 | 4.3 MEDIUM | Deno Websocket响应头非ASCII字节拒绝服务漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2026-49401
暂无评论