PT-2026-40541 · Npm · Protobufjs-Cli
Publicado
2026-05-12
·
Atualizado
2026-06-24
·
CVE-2026-44295
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
protobufjs-cli versões anteriores a 1.2.1
protobufjs-cli versões anteriores a 2.0.2
Descrição
A geração de código estático via
pbjs pode emitir identificadores JavaScript inseguros derivados de nomes controlados pelo esquema. Ao gerar JavaScript estático a partir de um esquema ou descritor JSON manipulado, certos nomes de namespace, enum, serviço ou nomes completos derivados podem ser gravados na saída sem a sanitização suficiente. Um invasor que influencie os esquemas passados para o pbjs pode fazer com que o JavaScript gerado contenha código controlado pelo invasor, que será executado se o arquivo gerado for posteriormente importado ou executado pelo aplicativo ou processo de build.Recomendações
Atualize para a versão 1.2.1.
Atualize para a versão 2.0.2.
Evite executar a geração de código estático em esquemas ou descritores não confiáveis.
Valide os nomes dos esquemas antes da geração do código e execute o processo em um ambiente isolado caso esquemas não confiáveis precisem ser aceitos.
Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Protobufjs-Cli