Zraniteľnosti v protobufjs ohrozujú dátové a AI systémy

Výskumníci zo spoločnosti Cyera objavili šesť zraniteľností v knižnici protobufjs, ktorá patrí medzi najpoužívanejšie JavaScript implementácie formátu Protocol Buffers a tvorí základ komunikácie v cloudových službách, databázach, AI platformách a distribuovaných aplikáciách.

Zraniteľné systémy:

• protobufjs (npm) verzie 7.5.5 a staršie
• protobufjs (npm) 8.0.0, 8.0.1
• protobufjs-cli verzie 1.2.0 a staršie
• protobufjs-cli 2.0.0, 2.0.1

Opis zraniteľnosti:

CVE-2026-44289 (CVSS skóre 7,5)

Vysoko závažná zraniteľnosť spôsobená nelimitovanou rekurziou pri dekódovaní správ typu Protobuf. Dekóder vykonáva rekurzné kroky, až pokým nevyčerpá vyhradenú pamäť. Zaslaním špeciálne vytvoreného obsahu tak môže neautentifikovaný útočník spôsobiť pád procesu.

CVE-2026-44290 (CVSS skóre 7,5)

Vysoko závažná zraniteľnosť typu prototype pollution v protobufjs umožňuje útočníkovi vytvoriť špeciálne upravenú schému protobuf alebo deskriptor JSON a spôsobiť poškodenie globálnej funkcionality procesu (DoS).

CVE-2026-44291 (CVSS skóre 8,1)

Vysoko závažná zraniteľnosť typu Code Injection prostredníctvom Prototype Pollution, ktorý môže za určitých podmienok viesť k vloženiu útočníkom kontrolovaného kódu do JavaScriptu generovaného knižnicou protobufjs.

CVE-2026-44292 (CVSS skóre 5,3)

CVE-2026-44292 umožňuje útočníkovi manipulovať prototypy jednotlivých protobufjs message inštancií prostredníctvom vlastnosti __proto__. Nevedie priamo k RCE ani k pádu celej aplikácie, ale môže spôsobiť narušenie logiky aplikácie a predstavuje ďalší príklad nedostatočnej ochrany proti prototype pollution útokom v protobufjs.

CVE-2026-44294 (CVSS skóre 5,3)

Zraniteľnosť v knižnici protobufjs (Node.js/JavaScript), ktorá sa týka spôsobu, akým knižnica generuje JavaScript kód z .proto schém. Útočník môže vytvoriť škodlivú .proto schému alebo JSON descriptor, ktorý obsahuje problematické znaky. Výsledkom zneužitia zraniteľnosti môže byť odmietnutie služby (DoS).

CVE-2026-44295 (CVSS skóre 8,7)

Vysoko závažná zraniteľnosť v balíku protobufjs-cli, ktorý je CLI rozšírením knižnice protobuf.js (nástroj pbjs používaný na generovanie JavaScript kódu z .proto schém). Útočník môže vytvoriť škodlivú schému, ktorá obsahuje špeciálne konštrukcie v názvoch a vedie k vykonaniu škodlivého kódu pri následnom použití výsledného súboru.

Možné škody:

• Nedostupnosť služby (DoS)
• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia protobufjs (npm) aspoň na verziu 7.5.6 alebo 8.0.2 a protobufjs-cli aspoň na verziu 1.2.1 alebo 2.0.2 .

Zdroje:

• https://www.cyera.com/research/proto6-the-schema-was-not-supposed-to-run
• https://www.cyera.com/blog/cyera-research-uncovers-six-protobuf-js-vulnerabilities-impacting-the-backbone-of-data-and-ai-systems
• https://nvd.nist.gov/vuln/detail/CVE-2026-44289
• https://nvd.nist.gov/vuln/detail/CVE-2026-44290
• https://nvd.nist.gov/vuln/detail/CVE-2026-44291
• https://nvd.nist.gov/vuln/detail/CVE-2026-44292
• https://nvd.nist.gov/vuln/detail/CVE-2026-44294
• https://nvd.nist.gov/vuln/detail/cve-2026-44295