CVE-2026-54270
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 — wyżej niż 21% wszystkich znanych CVE
Streszczenie
Wersje protobufjs od 8.2.0 do 8.4.2 nie miały opcji do odrzucania nieznanych pól podczas dekodowania, co mogło prowadzić do nadmiernego zużycia pamięci przez dekodowane wiadomości. W wersji 8.5.0 dodano opcje umożliwiające wyłączenie zatrzymywania nieznanych pól, a w wersji 8.6.2 domyślnie odrzucane są nieznane pola.
Ocena ryzyka
Organizacje mogą doświadczać problemów z wydajnością i nadmiernym zużyciem pamięci, gdy aplikacje dekodują nieznane dane protobuf. Może to prowadzić do awarii aplikacji lub degradacji usług.
Rekomendacja
Zaleca się aktualizację do wersji protobufjs 8.6.2 lub nowszej, aby skorzystać z domyślnego odrzucania nieznanych pól. Dodatkowo, należy skonfigurować aplikacje do korzystania z opcji dekodowania, które wyłączają zatrzymywanie nieznanych pól.
Oryginalny opis (angielski, źródło NVD)
protobufjs compiles protobuf definitions into JavaScript (JS) functions. From 8.2.0 to 8.4.2, protobufjs preserved unknown wire elements in message.$unknowns and did not provide a decode-time option to discard unknown fields before retaining them. A crafted protobuf payload containing many unknown fields could therefore cause a decoded message to retain substantially more memory than the input size would suggest, even when unknown-field round-tripping is not needed. protobufjs 8.5.0 added the relevant decode-time options, allowing applications that decode untrusted protobuf data to disable unknown-field retention during decode. protobufjs 8.6.2 flips the default so unknown fields are discarded unless explicitly opted into.

