Impatto Sistemico

Critico (79.35)

Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-41242 presente in protobufjs, libreria JavaScript che permette di usare Protocol Buffers (un formato di serializzazione dati sviluppato da Google) direttamente in ambienti Node.js e browser. Tale libreria consente di definire strutture di dati in modo compatto ed efficiente e convertirle facilmente in oggetti JavaScript e viceversa.

Tipologia

• Remote Code Execution

Descrizione e potenziali impatti

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-41242 – di tipo “Code Injection” e con score CVSS 4.0 pari a 9.4 – presente nella libreria protobufjs. La vulnerabilità è dovuta alle modalità di compilazione delle definizioni Protobuf in funzioni JavaScript. In particolare, protobufjs genera dinamicamente funzioni JavaScript a partire dalle definizioni contenute nello schema Protobuf, inserendo nel codice generato identificatori (come nomi di messaggi, campi e tipi) direttamente derivati dallo schema stesso. Tali identificatori non vengono adeguatamente validati prima di essere concatenati ed eseguiti tramite il costruttore Function() . Questo potrebbe consentire a un attaccante remoto, in grado di influenzare o fornire definizioni Protobuf, di fornire uno schema protobuf opportunamente predisposto, al fine di ottenere l’esecuzione di codice arbitrario durante la fase di compilazione/generazione delle funzioni associate allo schema. Lo sfruttamento della vulnerabilità potrebbe portare alla compromissione di server o applicazioni che caricano e utilizzano schemi Protobuf influenzati dall’attaccante.

Prodotti e versioni affette

Libreria protobufjs

• 8.x, versioni precedenti alla 8.0.1
• 7.x, versioni precedenti alla 7.5.5

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente le release vulnerabili all’ultima versione stabile disponibile.