Plattform
php
Komponente
protobuf/protobuf
Behoben in
5.34.0-RC1
4.33.6
CVE-2026-6409 represents a Denial of Service (DoS) vulnerability discovered within the Protobuf PHP library. This vulnerability allows malicious actors to crash applications by crafting specially designed messages containing negative varints or deep recursion during the parsing of untrusted input. The vulnerability impacts versions of Protobuf-php from 0.0.0 through 5.34.0-RC1, and patches have been released to address the issue.
Eine Denial-of-Service (DoS)-Schwachstelle wurde in der Protobuf PHP-Bibliothek (Pecl) (CVE-2026-6409) während der Analyse von nicht vertrauenswürdigen Eingaben festgestellt. Böswillig strukturierte Nachrichten – insbesondere solche, die negative varint-Werte oder eine tiefe Rekursion enthalten – können verwendet werden, um die Anwendung zum Absturz zu bringen und die Verfügbarkeit des Dienstes zu beeinträchtigen. Ein Angreifer kann diese Schwäche ausnutzen, um den normalen Betrieb von Anwendungen zu stören, die von Protobuf PHP abhängig sind, was zu Ausfallzeiten und potenziellen Datenverlusten führt. Die Schwere dieser Schwachstelle liegt in der einfachen Erstellung bösartiger Nachrichten und dem potenziellen weitreichenden Einfluss auf verschiedene Anwendungen.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer die Struktur der Protobuf-Nachrichten kontrollieren kann, die an die Anwendung gesendet werden. Dies kann in Szenarien auftreten, in denen die Anwendung Nachrichten von externen Quellen wie APIs oder Webdiensten empfängt. Das Erstellen von Nachrichten mit negativen varint-Werten oder tiefer Rekursion erfordert ein grundlegendes Verständnis des Protobuf-Nachrichtenformats. Die Auswirkungen der Ausnutzung können je nach Anwendungsarchitektur und Systemlast variieren.
Applications utilizing Protobuf-php to process untrusted data are at risk. This includes services that receive Protocol Buffer messages from external sources, such as APIs or user uploads. Specifically, applications with legacy Protobuf-php configurations or those lacking robust input validation are particularly vulnerable.
• php / server:
find /var/www/html -name 'protobuf-php' -type d• php / server:
ps aux | grep 'Protobuf-php' | grep -v grep• generic web: Check application logs for errors related to Protocol Buffer parsing or unexpected crashes around the time of the vulnerability disclosure.
disclosure
Exploit-Status
EPSS
0.09% (25% Perzentil)
CISA SSVC
Um das mit CVE-2026-6409 verbundene Risiko zu mindern, wird dringend empfohlen, die Protobuf PHP-Bibliothek auf Version 5.34.0-RC1 oder 4.33.6 zu aktualisieren. Diese Versionen enthalten Korrekturen, die die DoS-Schwachstelle beheben. Als vorübergehende Maßnahme sollten Sie die Exposition der Anwendung gegenüber nicht vertrauenswürdigen Eingaben einschränken und eine strenge Eingabevalidierung durchführen, bevor Sie Daten mit Protobuf PHP verarbeiten. Das Überwachen der Anwendungslogs auf ungewöhnliches Verhalten kann ebenfalls dazu beitragen, potenzielle Exploitationsversuche zu erkennen.
Actualice la biblioteca Protobuf-php a la versión 5.34.0-RC1 o superior para mitigar la vulnerabilidad de denegación de servicio. Asegúrese de probar la nueva versión en un entorno de desarrollo antes de implementarla en producción. Esta actualización aborda el problema al mejorar el manejo de mensajes protobuf maliciosos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Protobuf PHP ist eine Bibliothek für PHP, die Google's Protocol Buffers implementiert, einen effizienten und plattformübergreifenden Mechanismus zur Datenserialisierung.
Wenn Sie Protobuf PHP verwenden, überprüfen Sie die installierte Version. Wenn sie älter als 5.34.0-RC1 oder 4.33.6 ist, ist sie anfällig.
Als vorübergehende Maßnahme validieren Sie Eingabedaten streng und begrenzen Sie die Exposition gegenüber nicht vertrauenswürdigen Quellen.
Nein, eine KEV ist derzeit nicht für CVE-2026-6409 verfügbar.
Konsultieren Sie die offizielle Protobuf PHP-Dokumentation und relevante Sicherheitsquellen für Updates und zusätzliche Details.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.