CVE-2026-44291

Nome do Software Vulnerável e Versões Afetadas protobufjs versões anteriores a 7.5.6 protobufjs versões anteriores a 8.0.2

Descrição O protobufjs utiliza objetos simples com protótipos herdados para tabelas de busca de tipos internos em funções de codificação e decodificação geradas. Se o Object.prototype for poluído, essas tabelas de busca podem resolver propriedades herdadas controladas por um invasor como informações de tipo protobuf válidas, potencialmente fazendo com que strings controladas por um invasor sejam emitidas no código JavaScript gerado. Isso pode levar à execução de JavaScript arbitrário se um invasor conseguir disparar previamente uma vulnerabilidade de poluição de protótipo. A poluição de protótipo (prototype pollution) é uma técnica onde um invasor manipula o protótipo de um objeto base para injetar propriedades que são herdadas por outros objetos.

Recomendações Atualize para a versão 7.5.6. Atualize para a versão 8.0.2. Remova ou mitigue primitivos de poluição de protótipo acessíveis e isole o processamento de esquemas ou mensagens do estado não confiável da aplicação.