CRITICAL🇬🇧 English

CVE-2026-41242

Wstrzykiwanie kodu w protobuf.js podczas dekodowania definicji

CVSS 9.4v4.0pub. 2026-04-18upd. 2026-06-30

Biblioteka protobuf.js umożliwia atakującym wstrzyknięcie dowolnego kodu JavaScript poprzez pole "type" w definicjach protobuf. Wstrzyknięty kod jest następnie wykonywany podczas dekodowania obiektów, co stanowi poważne zagrożenie dla aplikacji przetwarzających niezaufane definicje.

Pokaż oryginał (EN)

protobufjs compiles protobuf definitions into JavaScript (JS) functions. In versions prior to 8.0.1 and 7.5.5, attackers can inject arbitrary code in the "type" fields of protobuf definitions, which will then execute during object decoding using that definition. Versions 8.0.1 and 7.5.5 patch the issue.

🤖 Analiza AI
Jak działa

Podatność (CWE-94 — code injection) polega na braku odpowiedniej walidacji pola "type" w definicjach protobuf kompilowanych przez bibliotekę protobuf.js. Atakujący może umieścić w tym polu złośliwy kod JavaScript, który zostaje osadzony w dynamicznie generowanych funkcjach dekodujących. W momencie dekodowania obiektu z użyciem takiej definicji, wstrzyknięty kod jest wykonywany w kontekście aplikacji.

Skutki

Atakujący z uprawnieniami umożliwiającymi dostarczenie złośliwej definicji protobuf może doprowadzić do wykonania dowolnego kodu JavaScript w kontekście aplikacji, co może skutkować przejęciem kontroli nad procesem, wyciekiem danych lub dalszym naruszeniem systemu.

Mitygacja

Należy zaktualizować protobuf.js do wersji 7.5.5 lub 8.0.1, które zawierają poprawkę eliminującą podatność. Patche dostępne są w repozytorium GitHub projektu.

Kogo dotyczy

Protobufjs Project protobuf.js w wersjach wcześniejszych niż 7.5.5 (gałąź 7.x) oraz wcześniejszych niż 8.0.1 (gałąź 8.x)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Protobufjs Project Protobufjs

    APP
    Protobufjs Project
    8.0.0< 7.5.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-36665CRITICAL9.8ten sam produkt

"protobuf.js (aka protobufjs) 6.10.0 through 7.x before 7.2.5 allows Prototype Pollution, a different vulnerab...

CVE-2026-48712HIGH7.5ten sam produkt

protobufjs compiles protobuf definitions into JavaScript (JS) functions. Prior to 7.6.1 and 8.4.1, protobufjs ...

CVE-2026-44290HIGH7.5ten sam produkt

protobufjs compiles protobuf definitions into JavaScript (JS) functions. Prior to 7.5.6 and 8.0.2, protobufjs ...

CVE-2026-44289HIGH7.5ten sam produkt

protobufjs compiles protobuf definitions into JavaScript (JS) functions. Prior to 7.5.6 and 8.0.2, protobufjs ...

CVE-2026-44291HIGH8.1ten sam produkt

protobufjs compiles protobuf definitions into JavaScript (JS) functions. Prior to 7.5.6 and 8.0.2, protobufjs ...