“พบช่องโหว่ร้ายแรงใน Deno บน Windows — เสี่ยงถูกสั่งรันคำสั่งอันตรายผ่านไฟล์ batch”
Deno ซึ่งเป็น runtime สำหรับ JavaScript, TypeScript และ WebAssembly ได้ออกประกาศแจ้งเตือนช่องโหว่ความปลอดภัยระดับสูง (CVE-2025-61787) ที่ส่งผลกระทบต่อระบบ Windows โดยเฉพาะเมื่อมีการเรียกใช้ไฟล์ batch (.bat หรือ .cmd) ผ่าน API ของ Deno ซึ่งอาจเปิดช่องให้ผู้ไม่หวังดีสั่งรันคำสั่งอันตรายได้โดยไม่ตั้งใจ
ปัญหานี้เกิดจากพฤติกรรมของ Windows ที่ใช้ API CreateProcess() ซึ่งจะเรียก cmd.exe โดยอัตโนมัติเมื่อมีการรันไฟล์ batch แม้ว่าจะไม่ได้ระบุไว้ในคำสั่งโดยตรง ส่งผลให้การส่งอาร์กิวเมนต์จากผู้ใช้ไปยังไฟล์ batch อาจถูกตีความเป็นคำสั่งใหม่ เช่น &calc.exe ซึ่งจะเปิดโปรแกรมเครื่องคิดเลขทันที
ทีม Deno ได้แสดงตัวอย่างการโจมตีผ่านโค้ดทั้งใน Node.js และ Deno เอง โดยใช้คำสั่ง spawn() หรือ Command.spawn() เพื่อรันไฟล์ batch พร้อมอาร์กิวเมนต์ที่แฝงคำสั่งอันตราย ซึ่งสามารถเปิดโปรแกรมหรือรันคำสั่งใด ๆ ได้ทันที
ช่องโหว่นี้ส่งผลกระทบต่อ Deno เวอร์ชันก่อน 2.5.2 และ 2.2.15 โดยทีมงานได้ออกแพตช์แก้ไขแล้วในเวอร์ชันดังกล่าว พร้อมแนะนำให้นักพัฒนาอัปเดตทันที โดยเฉพาะผู้ที่ใช้ Deno ในการจัดการสคริปต์หรือระบบอัตโนมัติบน Windows
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-61787 ส่งผลให้เกิด Command Injection บน Windows
เกิดจากการใช้ CreateProcess() ที่เรียก cmd.exe โดยอัตโนมัติเมื่อรันไฟล์ batch
ส่งผลให้คำสั่งที่แฝงในอาร์กิวเมนต์ เช่น &calc.exe ถูกตีความเป็นคำสั่งใหม่
ตัวอย่างการโจมตีแสดงผ่าน Node.js และ Deno โดยใช้ spawn() และ Command.spawn()
ช่องโหว่นี้มีคะแนน CVSS 8.1 ถือว่าร้ายแรง
ส่งผลต่อ Deno เวอร์ชันก่อน 2.5.2 และ 2.2.15
ทีมงานออกแพตช์แก้ไขแล้วในเวอร์ชัน 2.5.2 และ 2.2.15
แนะนำให้นักพัฒนาอัปเดตทันทีเพื่อป้องกันการโจมตี
ข้อมูลเสริมจากภายนอก
Deno เป็น runtime ที่เน้นความปลอดภัย โดยไม่อนุญาตให้เข้าถึงระบบโดยตรงเว้นแต่ระบุสิทธิ์
Command Injection เป็นหนึ่งในช่องโหว่ที่พบได้บ่อยในระบบที่รับ input จากผู้ใช้
Windows มีพฤติกรรมเฉพาะในการจัดการไฟล์ batch ซึ่งต่างจากระบบ Unix
การใช้ & ใน command line เป็นการเชื่อมคำสั่งหลายชุดใน Windows
ช่องโหว่นี้อาจถูกใช้ร่วมกับการโจมตีอื่น เช่น privilege escalation หรือ malware dropper
https://securityonline.info/high-severity-deno-flaw-cve-2025-61787-allows-command-injection-on-windows/
Deno ซึ่งเป็น runtime สำหรับ JavaScript, TypeScript และ WebAssembly ได้ออกประกาศแจ้งเตือนช่องโหว่ความปลอดภัยระดับสูง (CVE-2025-61787) ที่ส่งผลกระทบต่อระบบ Windows โดยเฉพาะเมื่อมีการเรียกใช้ไฟล์ batch (.bat หรือ .cmd) ผ่าน API ของ Deno ซึ่งอาจเปิดช่องให้ผู้ไม่หวังดีสั่งรันคำสั่งอันตรายได้โดยไม่ตั้งใจ
ปัญหานี้เกิดจากพฤติกรรมของ Windows ที่ใช้ API CreateProcess() ซึ่งจะเรียก cmd.exe โดยอัตโนมัติเมื่อมีการรันไฟล์ batch แม้ว่าจะไม่ได้ระบุไว้ในคำสั่งโดยตรง ส่งผลให้การส่งอาร์กิวเมนต์จากผู้ใช้ไปยังไฟล์ batch อาจถูกตีความเป็นคำสั่งใหม่ เช่น &calc.exe ซึ่งจะเปิดโปรแกรมเครื่องคิดเลขทันที
ทีม Deno ได้แสดงตัวอย่างการโจมตีผ่านโค้ดทั้งใน Node.js และ Deno เอง โดยใช้คำสั่ง spawn() หรือ Command.spawn() เพื่อรันไฟล์ batch พร้อมอาร์กิวเมนต์ที่แฝงคำสั่งอันตราย ซึ่งสามารถเปิดโปรแกรมหรือรันคำสั่งใด ๆ ได้ทันที
ช่องโหว่นี้ส่งผลกระทบต่อ Deno เวอร์ชันก่อน 2.5.2 และ 2.2.15 โดยทีมงานได้ออกแพตช์แก้ไขแล้วในเวอร์ชันดังกล่าว พร้อมแนะนำให้นักพัฒนาอัปเดตทันที โดยเฉพาะผู้ที่ใช้ Deno ในการจัดการสคริปต์หรือระบบอัตโนมัติบน Windows
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-61787 ส่งผลให้เกิด Command Injection บน Windows
เกิดจากการใช้ CreateProcess() ที่เรียก cmd.exe โดยอัตโนมัติเมื่อรันไฟล์ batch
ส่งผลให้คำสั่งที่แฝงในอาร์กิวเมนต์ เช่น &calc.exe ถูกตีความเป็นคำสั่งใหม่
ตัวอย่างการโจมตีแสดงผ่าน Node.js และ Deno โดยใช้ spawn() และ Command.spawn()
ช่องโหว่นี้มีคะแนน CVSS 8.1 ถือว่าร้ายแรง
ส่งผลต่อ Deno เวอร์ชันก่อน 2.5.2 และ 2.2.15
ทีมงานออกแพตช์แก้ไขแล้วในเวอร์ชัน 2.5.2 และ 2.2.15
แนะนำให้นักพัฒนาอัปเดตทันทีเพื่อป้องกันการโจมตี
ข้อมูลเสริมจากภายนอก
Deno เป็น runtime ที่เน้นความปลอดภัย โดยไม่อนุญาตให้เข้าถึงระบบโดยตรงเว้นแต่ระบุสิทธิ์
Command Injection เป็นหนึ่งในช่องโหว่ที่พบได้บ่อยในระบบที่รับ input จากผู้ใช้
Windows มีพฤติกรรมเฉพาะในการจัดการไฟล์ batch ซึ่งต่างจากระบบ Unix
การใช้ & ใน command line เป็นการเชื่อมคำสั่งหลายชุดใน Windows
ช่องโหว่นี้อาจถูกใช้ร่วมกับการโจมตีอื่น เช่น privilege escalation หรือ malware dropper
https://securityonline.info/high-severity-deno-flaw-cve-2025-61787-allows-command-injection-on-windows/
🛡️ “พบช่องโหว่ร้ายแรงใน Deno บน Windows — เสี่ยงถูกสั่งรันคำสั่งอันตรายผ่านไฟล์ batch”
Deno ซึ่งเป็น runtime สำหรับ JavaScript, TypeScript และ WebAssembly ได้ออกประกาศแจ้งเตือนช่องโหว่ความปลอดภัยระดับสูง (CVE-2025-61787) ที่ส่งผลกระทบต่อระบบ Windows โดยเฉพาะเมื่อมีการเรียกใช้ไฟล์ batch (.bat หรือ .cmd) ผ่าน API ของ Deno ซึ่งอาจเปิดช่องให้ผู้ไม่หวังดีสั่งรันคำสั่งอันตรายได้โดยไม่ตั้งใจ
ปัญหานี้เกิดจากพฤติกรรมของ Windows ที่ใช้ API CreateProcess() ซึ่งจะเรียก cmd.exe โดยอัตโนมัติเมื่อมีการรันไฟล์ batch แม้ว่าจะไม่ได้ระบุไว้ในคำสั่งโดยตรง ส่งผลให้การส่งอาร์กิวเมนต์จากผู้ใช้ไปยังไฟล์ batch อาจถูกตีความเป็นคำสั่งใหม่ เช่น &calc.exe ซึ่งจะเปิดโปรแกรมเครื่องคิดเลขทันที
ทีม Deno ได้แสดงตัวอย่างการโจมตีผ่านโค้ดทั้งใน Node.js และ Deno เอง โดยใช้คำสั่ง spawn() หรือ Command.spawn() เพื่อรันไฟล์ batch พร้อมอาร์กิวเมนต์ที่แฝงคำสั่งอันตราย ซึ่งสามารถเปิดโปรแกรมหรือรันคำสั่งใด ๆ ได้ทันที
ช่องโหว่นี้ส่งผลกระทบต่อ Deno เวอร์ชันก่อน 2.5.2 และ 2.2.15 โดยทีมงานได้ออกแพตช์แก้ไขแล้วในเวอร์ชันดังกล่าว พร้อมแนะนำให้นักพัฒนาอัปเดตทันที โดยเฉพาะผู้ที่ใช้ Deno ในการจัดการสคริปต์หรือระบบอัตโนมัติบน Windows
✅ ข้อมูลสำคัญจากข่าว
➡️ ช่องโหว่ CVE-2025-61787 ส่งผลให้เกิด Command Injection บน Windows
➡️ เกิดจากการใช้ CreateProcess() ที่เรียก cmd.exe โดยอัตโนมัติเมื่อรันไฟล์ batch
➡️ ส่งผลให้คำสั่งที่แฝงในอาร์กิวเมนต์ เช่น &calc.exe ถูกตีความเป็นคำสั่งใหม่
➡️ ตัวอย่างการโจมตีแสดงผ่าน Node.js และ Deno โดยใช้ spawn() และ Command.spawn()
➡️ ช่องโหว่นี้มีคะแนน CVSS 8.1 ถือว่าร้ายแรง
➡️ ส่งผลต่อ Deno เวอร์ชันก่อน 2.5.2 และ 2.2.15
➡️ ทีมงานออกแพตช์แก้ไขแล้วในเวอร์ชัน 2.5.2 และ 2.2.15
➡️ แนะนำให้นักพัฒนาอัปเดตทันทีเพื่อป้องกันการโจมตี
✅ ข้อมูลเสริมจากภายนอก
➡️ Deno เป็น runtime ที่เน้นความปลอดภัย โดยไม่อนุญาตให้เข้าถึงระบบโดยตรงเว้นแต่ระบุสิทธิ์
➡️ Command Injection เป็นหนึ่งในช่องโหว่ที่พบได้บ่อยในระบบที่รับ input จากผู้ใช้
➡️ Windows มีพฤติกรรมเฉพาะในการจัดการไฟล์ batch ซึ่งต่างจากระบบ Unix
➡️ การใช้ & ใน command line เป็นการเชื่อมคำสั่งหลายชุดใน Windows
➡️ ช่องโหว่นี้อาจถูกใช้ร่วมกับการโจมตีอื่น เช่น privilege escalation หรือ malware dropper
https://securityonline.info/high-severity-deno-flaw-cve-2025-61787-allows-command-injection-on-windows/
0 Comments
0 Shares
20 Views
0 Reviews
Thai