CVE-2026-44294: DoS in protobuf.js
Plateforme
nodejs
Composant
protobufjs
Corrigé dans
7.5.6
La vulnérabilité CVE-2026-44294 concerne protobuf.js, une bibliothèque JavaScript qui compile les définitions protobuf en fonctions JavaScript. Un attaquant peut exploiter cette faille en fournissant un schéma protobuf ou un descripteur JSON spécialement conçu, contenant des caractères de contrôle non échappés dans les noms de champs. Cela peut entraîner l'échec de la compilation des fonctions de codage, de décodage, de vérification ou de conversion, provoquant une déni de service. Les versions affectées sont 7.5.0–>= 8.0.0, < 8.0.2. La correction est disponible dans la version 7.5.6.
Impact et Scénarios d'Attaque
L'impact principal de cette vulnérabilité est un déni de service. Un attaquant capable de contrôler le schéma protobuf utilisé par protobuf.js peut provoquer l'arrêt de l'application JavaScript en la forçant à échouer lors de la compilation. Cela peut rendre le service indisponible pour les utilisateurs légitimes. Bien que l'exploitation ne permette pas l'exécution de code arbitraire, la perte de fonctionnalité peut avoir des conséquences significatives, en particulier dans les applications critiques qui dépendent de protobuf.js pour la sérialisation et la désérialisation des données. La complexité de la manipulation du schéma pour provoquer l'échec de la compilation pourrait constituer une barrière à l'entrée, mais la disponibilité d'outils de manipulation de protobuf pourrait faciliter l'exploitation.
Contexte d'Exploitation
La vulnérabilité CVE-2026-44294 n'est pas encore répertoriée sur KEV (Kernel Exploit Vulnerability) ni sur EPSS (Exploit Prediction Scoring System). La probabilité d'exploitation est considérée comme faible à modérée, car elle nécessite une connaissance approfondie du format protobuf et la capacité de créer des schémas malveillants. Aucun proof-of-concept (POC) public n'est actuellement disponible. La publication de la vulnérabilité a eu lieu le 13 mai 2026, et il est possible que des acteurs malveillants commencent à explorer cette faille.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Aucun — aucun impact sur l'intégrité.
- Availability
- Faible — déni de service partiel ou intermittent.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour protobuf.js vers la version 7.5.6 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à valider et à nettoyer rigoureusement tous les schémas protobuf avant de les utiliser avec protobuf.js. Cela peut impliquer l'utilisation d'expressions régulières pour supprimer ou échapper les caractères de contrôle potentiellement dangereux dans les noms de champs. L'utilisation d'un proxy inverse ou d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes contenant des schémas malveillants. Après la mise à jour, vérifiez que la compilation des fonctions protobuf se déroule correctement en testant avec des schémas valides et en surveillant les erreurs.
Comment corrigertraduction en cours…
Actualice a la versión 7.5.6 o superior, o a la versión 8.0.2 o superior para mitigar la vulnerabilidad. La actualización corrige la falta de escape de caracteres de control en los nombres de los campos, previniendo posibles denegaciones de servicio durante la compilación de las funciones generadas.
Questions fréquentes
What is CVE-2026-44294 — DoS in protobuf.js?
CVE-2026-44294 est une vulnérabilité de type déni de service (DoS) dans la bibliothèque JavaScript protobuf.js. Un schéma protobuf malveillant peut provoquer l'échec de la compilation des fonctions, rendant l'application indisponible.
Am I affected by CVE-2026-44294 in protobuf.js?
Vous êtes affecté si vous utilisez protobuf.js dans les versions 7.5.0–>= 8.0.0, < 8.0.2. Vérifiez votre version actuelle avec npm list protobuf.js.
How do I fix CVE-2026-44294 in protobuf.js?
La solution est de mettre à jour protobuf.js vers la version 7.5.6 ou ultérieure. En attendant, validez et nettoyez rigoureusement les schémas protobuf.
Is CVE-2026-44294 being actively exploited?
À ce jour, il n'y a aucune indication d'exploitation active de CVE-2026-44294, mais la probabilité d'exploitation est considérée comme faible à modérée.
Where can I find the official protobuf.js advisory for CVE-2026-44294?
Consultez le site web de protobuf.js ou le dépôt GitHub pour les informations officielles et les mises à jour concernant CVE-2026-44294.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
Téléchargez n'importe quel manifeste (composer.lock, package-lock.json, liste de plugins WordPress…) ou collez votre liste de composants. Vous obtiendrez un rapport de vulnérabilités instantanément. Le téléchargement d'un fichier n'est qu'un début : avec un compte vous bénéficiez d'une surveillance continue, d'alertes Slack/email, de multi-projets et de rapports en marque blanche.
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...