Katalog CVE

CVE-2026-48712

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece protobufjs przed wersjami 7.6.1 i 8.4.1 umożliwia wyczerpanie stosu JavaScript podczas konwersji zdekodowanych wiadomości protobuf na obiekty lub JSON. Problem wynika z braku limitu głębokości rekurencji przy przetwarzaniu zagnieżdżonych wartości Any.

Ocena ryzyka

Atakujący może wysłać spreparowany binarny ładunek protobuf zawierający głęboko zagnieżdżone wartości Any, co prowadzi do wyczerpania stosu wywołań i potencjalnej odmowy usługi (DoS) w aplikacji korzystającej z protobufjs.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę protobufjs do wersji 7.6.1 lub 8.4.1, w zależności od używanej głównej wersji.

Oryginalny opis (angielski, źródło NVD)

protobufjs compiles protobuf definitions into JavaScript (JS) functions. Prior to 7.6.1 and 8.4.1, protobufjs could recurse without a depth limit while converting decoded messages to plain objects or JSON. This affected generated toObject() conversion and the custom google.protobuf.Any JSON conversion path. A crafted protobuf binary payload containing deeply nested Any values could cause the JavaScript call stack to be exhausted during conversion to JSON. This vulnerability is fixed in 7.6.1 and 8.4.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS