PT-2026-40541 · Npm · Protobufjs-Cli

Publicado

2026-05-12

·

Atualizado

2026-06-24

·

CVE-2026-44295

CVSS v3.1

8.7

Alta

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas protobufjs-cli versões anteriores a 1.2.1 protobufjs-cli versões anteriores a 2.0.2
Descrição A geração de código estático via pbjs pode emitir identificadores JavaScript inseguros derivados de nomes controlados pelo esquema. Ao gerar JavaScript estático a partir de um esquema ou descritor JSON manipulado, certos nomes de namespace, enum, serviço ou nomes completos derivados podem ser gravados na saída sem a sanitização suficiente. Um invasor que influencie os esquemas passados para o pbjs pode fazer com que o JavaScript gerado contenha código controlado pelo invasor, que será executado se o arquivo gerado for posteriormente importado ou executado pelo aplicativo ou processo de build.
Recomendações Atualize para a versão 1.2.1. Atualize para a versão 2.0.2. Evite executar a geração de código estático em esquemas ou descritores não confiáveis. Valide os nomes dos esquemas antes da geração do código e execute o processo em um ambiente isolado caso esquemas não confiáveis precisem ser aceitos.

Exploit

Correção

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44295
GHSA-6R35-46G8-JCW9

Produtos afetados

Protobufjs-Cli