Scanner gratuitement
Analyse en attenteCVE-2026-45740

CVE-2026-45740: DoS in protobuf.js

Plateforme

nodejs

Composant

protobufjs

Corrigé dans

7.5.8

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-45740 affecte la bibliothèque protobuf.js, utilisée pour compiler des définitions protobuf en fonctions JavaScript. Elle permet à un attaquant de provoquer un déni de service (DoS) en exploitant une absence de limite de profondeur lors de l'expansion de descripteurs JSON imbriqués. Les versions concernées sont 7.0.0–>= 8.0.0, < 8.2.0. Une correction a été déployée dans la version 7.5.8.

Impact et Scénarios d'Attaque

Cette vulnérabilité DoS se manifeste par un épuisement de la pile d'appels JavaScript lors du chargement de descripteurs protobuf. Un attaquant peut créer un descripteur JSON avec des définitions d'espaces de noms profondément imbriquées, forçant protobuf.js à effectuer une récursion excessive. Cela conduit à un plantage de l'application JavaScript et rend le service indisponible. L'impact est significatif car il peut affecter la disponibilité des applications qui dépendent de protobuf.js pour le traitement des données structurées, notamment dans les environnements de microservices et d'API.

Contexte d'Exploitation

La publication de cette vulnérabilité a eu lieu le 13 mai 2026. La probabilité d'exploitation est considérée comme faible à modérée, en l'absence de preuves d'exploitation active. Il n'existe pas de Proof of Concept (PoC) public connu à ce jour. La vulnérabilité n'est pas répertoriée sur KEV (Kernel Exploit Vulnerability Database) ni sur EPSS (Exploit Prediction Scoring System).

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

CISA SSVC

Exploitationnone
Automatisableyes
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityNoneRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityLowRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Aucun — aucun impact sur la confidentialité.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Faible — déni de service partiel ou intermittent.

Logiciel Affecté

Composantprotobufjs
Fournisseurprotobufjs
Version minimale7.0.0
Version maximale>= 8.0.0, < 8.2.0
Corrigé dans7.5.8

Classification de Faiblesse (CWE)

CWE-674

Chronologie

  1. Réservé
  2. Publiée

Mitigation et Contournements

La mitigation principale consiste à mettre à jour protobuf.js vers la version 7.5.8 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire pourrait consister à limiter la profondeur maximale de récursion autorisée lors du chargement des descripteurs JSON. Cependant, cette approche peut entraîner une perte de fonctionnalité ou une dégradation des performances. Il est également recommandé de surveiller les journaux d'erreurs JavaScript pour détecter des plantages liés à une récursion excessive, ce qui pourrait indiquer une tentative d'exploitation. Après la mise à jour, vérifiez que le chargement des descripteurs protobuf se déroule sans erreur.

Comment corrigertraduction en cours…

Actualice a la versión 7.5.8 o superior, o a la versión 8.2.0 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige la falta de un límite de profundidad en la expansión de descriptores JSON anidados, previniendo el agotamiento de la pila de llamadas.

Questions fréquentes

What is CVE-2026-45740 — DoS in protobuf.js?

CVE-2026-45740 est une vulnérabilité de déni de service (DoS) dans la bibliothèque JavaScript protobuf.js, permettant à un attaquant d'épuiser la pile d'appels JavaScript via un descripteur JSON malveillant.

Am I affected by CVE-2026-45740 in protobuf.js?

Vous êtes affecté si vous utilisez protobuf.js dans les versions 7.0.0–>= 8.0.0, < 8.2.0. Vérifiez votre version actuelle et mettez à jour si nécessaire.

How do I fix CVE-2026-45740 in protobuf.js?

La correction consiste à mettre à jour protobuf.js vers la version 7.5.8 ou ultérieure. En attendant, une limitation de la profondeur de récursion peut être envisagée.

Is CVE-2026-45740 being actively exploited?

À ce jour, il n'y a aucune preuve d'exploitation active de CVE-2026-45740, mais la vigilance est recommandée.

Where can I find the official protobuf.js advisory for CVE-2026-45740?

Consultez le site web officiel de protobuf.js ou le dépôt GitHub pour les informations et les mises à jour concernant cette vulnérabilité.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...