CVE-2026-41242
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 50 — wyżej niż 50% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece protobufjs umożliwia wstrzyknięcie dowolnego kodu JavaScript przez specjalnie spreparowane pole 'type' w definicjach protobuf. Kod wykonuje się podczas dekodowania obiektów korzystających z tej definicji. Problem został załatany w wersjach 8.0.1 i 7.5.5.
Ocena ryzyka
Atakujący może zdalnie wykonać dowolny kod JavaScript w kontekście aplikacji używającej protobufjs, co prowadzi do przejęcia kontroli nad systemem, kradzieży danych lub dalszego rozprzestrzeniania ataku.
Rekomendacja
Niezwłocznie zaktualizuj bibliotekę protobufjs do wersji 8.0.1 lub 7.5.5. Przed aktualizacją sprawdź, czy nie używasz niebezpiecznych definicji protobuf pochodzących z niezaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
protobufjs compiles protobuf definitions into JavaScript (JS) functions. In versions prior to 8.0.1 and 7.5.5, attackers can inject arbitrary code in the "type" fields of protobuf definitions, which will then execute during object decoding using that definition. Versions 8.0.1 and 7.5.5 patch the issue.

