PT-2026-40540 · Npm · Protobufjs
Publicado
2026-05-12
·
Atualizado
2026-07-03
·
CVE-2026-44294
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do Software Vulnerável e Versões Afetadas
protobufjs versões anteriores a 7.5.6
protobufjs versões anteriores a 8.0.2
Descrição
O protobufjs gera acessores de propriedade JavaScript a partir de nomes de campos e oneof controlados por esquema. Certos caracteres de controle em nomes de campos não eram escapados antes de serem incorporados nos corpos das funções geradas. Um esquema ou descritor JSON manipulado poderia fazer com que as funções de codificação, decodificação, verificação ou conversão geradas falhassem durante a compilação, resultando em uma negação de serviço para aplicativos que carregam esquemas ou descritores não confiáveis ao causar um erro de sintaxe na geração de código em tempo de execução.
Recomendações
Atualize para a versão 7.5.6.
Atualize para a versão 8.0.2.
Evite carregar esquemas protobuf ou descritores JSON de fontes não confiáveis.
Valide os nomes dos campos antes de carregá-los e rejeite nomes que contenham caracteres de controle.
Exploit
Correção
DoS
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Protobufjs