CVE-2026-44291: Prototype Pollution in protobuf.js
Plateforme
nodejs
Composant
protobufjs
Corrigé dans
7.5.6
La vulnérabilité CVE-2026-44291 affecte la bibliothèque protobuf.js, permettant une pollution de prototype. Cette pollution peut être exploitée pour injecter du code JavaScript arbitraire dans le code généré par protobuf.js. Les versions concernées sont 7.5.0–>= 8.0.0, < 8.0.2. Une version corrigée, 7.5.6, est disponible.
Impact et Scénarios d'Attaque
L'impact de cette vulnérabilité est significatif. Un attaquant capable de provoquer une pollution de prototype peut manipuler les fonctions d'encodage et de décodage générées par protobuf.js. Cela permet d'injecter du code JavaScript malveillant dans le code de l'application, qui sera ensuite exécuté. Le vecteur d'attaque repose sur la capacité de l'attaquant à influencer les tables de recherche de types internes de protobuf.js, en exploitant des propriétés héritées contrôlées par l'attaquant. Cette vulnérabilité est particulièrement préoccupante car elle peut conduire à une compromission complète de l'application, permettant à l'attaquant d'exécuter du code à distance.
Contexte d'Exploitation
La vulnérabilité CVE-2026-44291 a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la complexité de la pollution de prototype et de la nécessité d'une première étape pour compromettre l'environnement d'exécution. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de présence sur KEV ou EPSS. Consultez la publication NVD pour plus d'informations.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Élevée — nécessite une condition de course, configuration non standard ou circonstances spécifiques.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour protobuf.js vers la version 7.5.6 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est crucial de renforcer la sécurité de l'environnement d'exécution de protobuf.js en limitant les possibilités de pollution de prototype. Cela peut inclure la désactivation de l'héritage de prototype ou l'utilisation de techniques de sandboxing pour isoler l'exécution du code généré. En attendant la mise à jour, une analyse approfondie du code source et des dépendances est recommandée pour identifier et corriger les potentielles vulnérabilités de pollution de prototype. Après la mise à jour, vérifiez l'intégrité de l'installation en exécutant des tests de régression pour confirmer l'absence de comportement inattendu.
Comment corrigertraduction en cours…
Actualice a la versión 7.5.6 o superior, o a la versión 8.0.2 o superior para mitigar la vulnerabilidad de contaminación de prototipos que podría permitir la inyección de código.
Questions fréquentes
What is CVE-2026-44291 — Prototype Pollution in protobuf.js?
CVE-2026-44291 est une vulnérabilité de pollution de prototype dans la bibliothèque protobuf.js, permettant l'injection de code JavaScript arbitraire. Elle affecte les versions 7.5.0–>= 8.0.0, < 8.0.2.
Am I affected by CVE-2026-44291 in protobuf.js?
Vous êtes affecté si vous utilisez protobuf.js dans les versions 7.5.0–>= 8.0.0, < 8.0.2. Vérifiez votre version actuelle avec npm list protobuf.js ou yarn list protobuf.js.
How do I fix CVE-2026-44291 in protobuf.js?
La solution est de mettre à jour protobuf.js vers la version 7.5.6 ou supérieure. En attendant, renforcez la sécurité de l'environnement d'exécution pour prévenir la pollution de prototype.
Is CVE-2026-44291 being actively exploited?
À ce jour, il n'y a pas d'indication d'une exploitation active de CVE-2026-44291, mais la probabilité d'exploitation est considérée comme moyenne.
Where can I find the official protobuf.js advisory for CVE-2026-44291?
Consultez la publication NVD (National Vulnerability Database) pour les informations officielles sur CVE-2026-44291 et protobuf.js.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
Téléchargez n'importe quel manifeste (composer.lock, package-lock.json, liste de plugins WordPress…) ou collez votre liste de composants. Vous obtiendrez un rapport de vulnérabilités instantanément. Le téléchargement d'un fichier n'est qu'un début : avec un compte vous bénéficiez d'une surveillance continue, d'alertes Slack/email, de multi-projets et de rapports en marque blanche.
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...