PT-2026-40540 · Npm · Protobufjs

Publicado

2026-05-12

·

Atualizado

2026-07-03

·

CVE-2026-44294

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Nome do Software Vulnerável e Versões Afetadas protobufjs versões anteriores a 7.5.6 protobufjs versões anteriores a 8.0.2
Descrição O protobufjs gera acessores de propriedade JavaScript a partir de nomes de campos e oneof controlados por esquema. Certos caracteres de controle em nomes de campos não eram escapados antes de serem incorporados nos corpos das funções geradas. Um esquema ou descritor JSON manipulado poderia fazer com que as funções de codificação, decodificação, verificação ou conversão geradas falhassem durante a compilação, resultando em uma negação de serviço para aplicativos que carregam esquemas ou descritores não confiáveis ao causar um erro de sintaxe na geração de código em tempo de execução.
Recomendações Atualize para a versão 7.5.6. Atualize para a versão 8.0.2. Evite carregar esquemas protobuf ou descritores JSON de fontes não confiáveis. Valide os nomes dos campos antes de carregá-los e rejeite nomes que contenham caracteres de controle.

Exploit

Correção

DoS

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-09112
CVE-2026-44294
GHSA-2PR8-PHX7-X9H3

Produtos afetados

Protobufjs