CVE-2026-45740: DoS en protobuf.js
Plataforma
nodejs
Componente
protobufjs
Corregido en
7.5.8
La vulnerabilidad CVE-2026-45740 es una denegación de servicio (DoS) que afecta a la biblioteca protobuf.js, utilizada para compilar definiciones de protobuf en JavaScript. Un atacante puede aprovechar esta falla para agotar la pila de llamadas de JavaScript, provocando la inestabilidad o el fallo de las aplicaciones que utilizan protobuf.js. Esta vulnerabilidad afecta a las versiones 7.0.0–>= 8.0.0, < 8.2.0 y ha sido solucionada en la versión 7.5.8 y 8.2.0.
Impacto y Escenarios de Ataque
Esta vulnerabilidad DoS permite a un atacante remoto provocar una denegación de servicio en aplicaciones que utilizan protobuf.js. El ataque se basa en la manipulación de un descriptor JSON que contiene definiciones de espacio de nombres profundamente anidadas. Al procesar este descriptor malicioso, protobuf.js entra en una recursión sin límite, consumiendo recursos del sistema hasta que la pila de llamadas de JavaScript se agota, lo que resulta en la finalización inesperada de la aplicación. La severidad del impacto depende de la criticidad de la aplicación afectada y de la disponibilidad de recursos para mitigar el ataque. Aunque no permite la ejecución remota de código, la interrupción del servicio puede tener consecuencias significativas para la disponibilidad de los sistemas.
Contexto de Explotación
La vulnerabilidad CVE-2026-45740 fue publicada el 13 de mayo de 2026. No se ha reportado su inclusión en KEV (Known Exploited Vulnerabilities) ni se ha asignado un puntaje EPSS. Actualmente no se conocen pruebas de concepto (PoC) públicas disponibles, pero la naturaleza de la vulnerabilidad DoS la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas afectados en busca de signos de actividad maliciosa.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Ninguno — sin impacto en integridad.
- Availability
- Bajo — denegación de servicio parcial o intermitente.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal para CVE-2026-45740 es actualizar protobuf.js a la versión 7.5.8 o 8.2.0, donde se ha solucionado la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como limitar la profundidad máxima de recursión en el procesamiento de descriptores JSON. Aunque no es una solución completa, puede ayudar a reducir el riesgo de explotación. Además, se recomienda revisar el código de la aplicación para identificar y eliminar cualquier dependencia innecesaria de protobuf.js. Tras la actualización, verificar que la nueva versión se ha cargado correctamente y que la aplicación funciona como se espera.
Cómo corregirlotraduciendo…
Actualice a la versión 7.5.8 o superior, o a la versión 8.2.0 o superior para mitigar la vulnerabilidad de denegación de servicio. La actualización corrige la falta de un límite de profundidad en la expansión de descriptores JSON anidados, previniendo el agotamiento de la pila de llamadas.
Preguntas frecuentes
What is CVE-2026-45740 — DoS en protobuf.js?
CVE-2026-45740 es una vulnerabilidad de Denegación de Servicio (DoS) en la biblioteca protobuf.js que permite a un atacante agotar la pila de llamadas de JavaScript al procesar descriptores JSON maliciosos.
Am I affected by CVE-2026-45740 in protobuf.js?
Si está utilizando protobuf.js en las versiones 7.0.0–>= 8.0.0, < 8.2.0, es probable que esté afectado. Verifique su versión y actualice si es necesario.
How do I fix CVE-2026-45740 in protobuf.js?
La solución es actualizar protobuf.js a la versión 7.5.8 o 8.2.0. Si la actualización no es posible, considere implementar medidas de mitigación temporales.
Is CVE-2026-45740 being actively exploited?
Actualmente no se conocen explotaciones activas, pero la naturaleza de la vulnerabilidad DoS la hace susceptible a ataques. Se recomienda monitorear los sistemas afectados.
Where can I find the official protobuf.js advisory for CVE-2026-45740?
Consulte el repositorio oficial de protobuf.js en GitHub para obtener información y actualizaciones: [https://github.com/protocolbuffers/protobufjs](https://github.com/protocolbuffers/protobufjs)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...