CVE-2026-48712

Nome do Software Vulnerável e Versões Afetadas protobufjs (versões afetadas não especificadas)

Description Existe um problema onde o software pode realizar recursão sem um limite de profundidade durante a conversão de mensagens decodificadas para objetos simples ou JSON. Isso afeta especificamente a conversão gerada toObject() e o caminho de conversão JSON customizado google.protobuf.Any. Um payload binário protobuf manipulado contendo valores Any profundamente aninhados pode esgotar a pilha de chamadas (call stack) do JavaScript, levando ao travamento do processo ou falha na conversão da mensagem via estouro de pilha (stack overflow). Isso ocorre quando aplicações decodificam entradas protobuf não confiáveis contendo valores google.protobuf.Any e subsequentemente as convertem usando JSON.stringify(message), Message#toJSON() ou Type.toObject(message, { json: true }).

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Evite converter mensagens protobuf não confiáveis que contenham valores google.protobuf.Any para JSON. Rejeite ou limite mensagens com payloads Any profundamente aninhados em um limite de protocolo externo. Isole a conversão de mensagens em um processo que possa ser reiniciado com segurança.