CVE-2026-44295: Código Inseguro en protobuf.js v2.0.0-2.0.1
Plataforma
nodejs
Componente
protobufjs
Corregido en
2.0.2
La vulnerabilidad CVE-2026-44295 afecta a protobuf.js, una biblioteca JavaScript para serialización y deserialización de datos en formato Protocol Buffers. Esta vulnerabilidad permite la generación de código JavaScript inseguro debido a una falta de sanitización adecuada de nombres en los esquemas. Las versiones afectadas son 2.0.0 hasta 2.0.1. La solución es actualizar a la versión 2.0.2, que corrige este problema.
Impacto y Escenarios de Ataque
Un atacante podría aprovechar esta vulnerabilidad creando un esquema Protocol Buffers malicioso o un descriptor JSON que, al ser procesado por pbjs para la generación de código JavaScript estático, produzca código con identificadores inseguros. Estos identificadores podrían ser utilizados para ejecutar código arbitrario en el contexto de la aplicación que utiliza protobuf.js. El impacto potencial incluye la ejecución remota de código, robo de datos sensibles y la manipulación del comportamiento de la aplicación. La falta de sanitización permite inyectar código malicioso directamente en el código JavaScript generado, lo que lo hace particularmente peligroso.
Contexto de Explotación
La vulnerabilidad fue publicada el 13 de mayo de 2026. No se ha reportado su explotación activa en campañas conocidas. La probabilidad de explotación se considera media debido a la necesidad de crear esquemas maliciosos específicos y a la complejidad de la inyección de código. No se encuentra en la lista KEV. Se recomienda monitorear las fuentes de información de seguridad para detectar posibles actualizaciones sobre su explotación.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal es actualizar protobuf.js a la versión 2.0.2 o superior. Si la actualización no es inmediatamente posible, se recomienda evitar el uso de la generación estática de código JavaScript con pbjs, especialmente si se procesan esquemas de fuentes no confiables. Como medida temporal, se puede implementar una validación estricta de los esquemas Protocol Buffers de entrada para detectar y rechazar aquellos que contengan nombres potencialmente peligrosos. No existen firmas Sigma o YARA aplicables directamente a esta vulnerabilidad, ya que el ataque se produce durante la generación del código.
Cómo corregirlotraduciendo…
Actualice la biblioteca protobuf.js a la versión 2.0.2 o superior, o a la versión 1.2.1 o superior si está utilizando una versión anterior a 2.0.0. Esto solucionará la vulnerabilidad de inyección de código al sanear correctamente los nombres de los esquemas.
Preguntas frecuentes
What is CVE-2026-44295 — Código Inseguro en protobuf.js v2.0.0-2.0.1?
CVE-2026-44295 es una vulnerabilidad de código inseguro en protobuf.js versiones 2.0.0 hasta 2.0.1. Permite la generación de código JavaScript malicioso a partir de esquemas Protocol Buffers manipulados, pudiendo llevar a la ejecución de código arbitrario.
Am I affected by CVE-2026-44295 in protobuf.js?
Si está utilizando protobuf.js en las versiones 2.0.0 hasta 2.0.1, es vulnerable. Verifique su versión con npm list protobuf.js y actualice a 2.0.2 o superior.
How do I fix CVE-2026-44295 in protobuf.js?
La solución es actualizar protobuf.js a la versión 2.0.2 o superior. Esto corrige la vulnerabilidad al implementar una sanitización adecuada de los nombres en los esquemas.
Is CVE-2026-44295 being actively exploited?
Hasta el momento, no se ha reportado la explotación activa de CVE-2026-44295 en campañas conocidas, pero se recomienda precaución y monitoreo constante.
Where can I find the official protobuf.js advisory for CVE-2026-44295?
Consulte el repositorio oficial de protobuf.js en GitHub para obtener la información más reciente y las notas de la versión: [https://github.com/protocolbuffers/protobufjs](https://github.com/protocolbuffers/protobufjs)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...