CVE-2026-48712
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece protobufjs przed wersjami 7.6.1 i 8.4.1 umożliwia wyczerpanie stosu JavaScript podczas konwersji zdekodowanych wiadomości protobuf na obiekty lub JSON. Problem wynika z braku limitu głębokości rekurencji przy przetwarzaniu zagnieżdżonych wartości Any.
Ocena ryzyka
Atakujący może wysłać spreparowany binarny ładunek protobuf zawierający głęboko zagnieżdżone wartości Any, co prowadzi do wyczerpania stosu wywołań i potencjalnej odmowy usługi (DoS) w aplikacji korzystającej z protobufjs.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę protobufjs do wersji 7.6.1 lub 8.4.1, w zależności od używanej głównej wersji.
Oryginalny opis (angielski, źródło NVD)
protobufjs compiles protobuf definitions into JavaScript (JS) functions. Prior to 7.6.1 and 8.4.1, protobufjs could recurse without a depth limit while converting decoded messages to plain objects or JSON. This affected generated toObject() conversion and the custom google.protobuf.Any JSON conversion path. A crafted protobuf binary payload containing deeply nested Any values could cause the JavaScript call stack to be exhausted during conversion to JSON. This vulnerability is fixed in 7.6.1 and 8.4.1.

