Kostenlos scannen
Analyse ausstehendCVE-2026-44294

CVE-2026-44294: DoS in protobufjs ≤7.5.5

Plattform

nodejs

Komponente

protobufjs

Auf NVD ansehen
Speichern

CVE-2026-44294 describes a Denial of Service (DoS) vulnerability affecting protobufjs versions 7.5.5 and earlier. An attacker can exploit this by providing a malicious protobuf schema or JSON descriptor, leading to runtime code generation errors and rendering affected message types unusable. The vulnerability was published on May 12, 2026, and mitigation strategies focus on schema validation and upgrading to a patched version.

Auswirkungen und Angriffsszenarienwird übersetzt…

The primary impact of CVE-2026-44294 is a denial of service. Successful exploitation prevents the use of specific protobuf message types within applications utilizing protobufjs. This can disrupt critical functionality relying on these message formats, potentially leading to application crashes or service unavailability. The attack vector involves injecting malicious control characters into protobuf field names, which are then embedded into generated JavaScript code. This triggers syntax errors during runtime code generation, effectively disabling the message type. While the vulnerability doesn't directly expose sensitive data, the disruption of service can have significant operational consequences.

Ausnutzungskontextwird übersetzt…

CVE-2026-44294 is currently not listed on KEV or EPSS. The CVSS score is 5.3 (Medium), indicating a moderate probability of exploitation. No public Proof-of-Concept (PoC) code has been publicly released as of the publication date. Active campaigns targeting this vulnerability are not currently known, but the ease of schema manipulation suggests potential for future exploitation.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityNoneRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityLowRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Keine — kein Vertraulichkeitseinfluss.
Integrity
Keine — kein Integritätseinfluss.
Availability
Niedrig — partieller oder intermittierender Denial of Service.

Betroffene Software

Komponenteprotobufjs
Höchstversion7.5.5

Schwachstellen-Klassifikation (CWE)

CWE-20

Zeitleiste

  1. Veröffentlicht

Mitigation und Workaroundswird übersetzt…

The recommended mitigation for CVE-2026-44294 is to upgrade to a patched version of protobufjs. Unfortunately, a fixed version is not yet available. As a workaround, implement strict input validation on any protobuf schemas or JSON descriptors received from untrusted sources. This validation should specifically filter out or escape control characters that could be exploited. Consider using a Web Application Firewall (WAF) to inspect and block malicious protobuf payloads. Thoroughly review and sanitize any external data used to construct protobuf messages.

So behebenwird übersetzt…

Kein offizieller Patch verfügbar. Prüfe auf Workarounds oder überwache auf Updates.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2026-44294 — DoS in protobufjs ≤7.5.5?

CVE-2026-44294 is a Denial of Service vulnerability in protobufjs versions up to 7.5.5. A malicious protobuf schema can cause runtime code generation to fail, rendering message types unusable.

Am I affected by CVE-2026-44294 in protobufjs?

If you are using protobufjs version 7.5.5 or earlier and process protobuf schemas from untrusted sources, you are potentially affected by this vulnerability.

How do I fix CVE-2026-44294 in protobufjs?

A patched version is not yet available. Implement strict input validation on protobuf schemas and consider using a WAF to block malicious payloads.

Is CVE-2026-44294 being actively exploited?

As of the publication date, there are no known active campaigns exploiting CVE-2026-44294, but the vulnerability's nature suggests potential for future exploitation.

Where can I find the official protobufjs advisory for CVE-2026-44294?

Refer to the protobufjs project's official website and GitHub repository for updates and advisories related to CVE-2026-44294.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...