CVE-2026-44290

Nome do Software Vulnerável e Versões Afetadas protobufjs versões anteriores a 7.5.6 protobufjs versões anteriores a 8.0.2

Descrição O protobufjs permite que certos caminhos de opção de esquema atravessem propriedades de objetos herdados durante a aplicação de opções. Um esquema protobuf ou descritor JSON manipulado pode fazer com que a manipulação de opções escreva em propriedades de construtores JavaScript globais, corrompendo a funcionalidade integrada de todo o processo. Isso pode resultar em uma negação de serviço persistente durante a vida útil do processo afetado. O problema afeta aplicações que analisam ou carregam esquemas ou descritores protobuf de fontes não confiáveis usando APIs de reflexão como parse(), Root.load(), Root.loadSync() ou Root.fromJSON(). Aplicações que utilizam esquemas integrados ou confiáveis para decodificar cargas úteis não confiáveis não são afetadas diretamente.

Recomendações Atualize para a versão 7.5.6. Atualize para a versão 8.0.2. Evite analisar ou carregar esquemas protobuf ou descritores JSON de fontes não confiáveis. Valide ou rejeite nomes de opções que contenham componentes de caminho de propriedade inseguros antes de carregá-los. Execute o processamento de esquemas em um processo isolado.