Plateforme
php
Composant
protobuf/protobuf
Corrigé dans
5.34.0-RC1
4.33.6
La vulnérabilité CVE-2026-6409 représente une faille de type déni de service (DoS) au sein de la bibliothèque Protobuf PHP. L'exploitation de cette vulnérabilité permet à un attaquant de provoquer un crash de l'application en manipulant la structure des messages analysés, notamment en utilisant des varint négatifs ou une récursion profonde. Les versions affectées sont celles comprises entre 0.0.0 et 5.34.0-RC1 incluses, et une correction est désormais disponible.
Une vulnérabilité de Déni de Service (DoS) existe dans la bibliothèque Protobuf PHP (Pecl) (CVE-2026-6409) lors de l'analyse d'entrées non fiables. Des messages malicieusement structurés – en particulier ceux contenant des varint négatifs ou une récursion profonde – peuvent être utilisés pour faire planter l'application, ce qui affecte la disponibilité du service. Un attaquant peut exploiter cette faiblesse pour perturber le fonctionnement normal des applications qui dépendent de Protobuf PHP, entraînant des interruptions de service et une perte potentielle de données. La gravité de cette vulnérabilité réside dans la facilité de création de messages malveillants et le potentiel d'impact généralisé sur diverses applications.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant puisse contrôler la structure des messages Protobuf envoyés à l'application. Cela peut se produire dans des scénarios où l'application reçoit des messages provenant de sources externes, telles que des API ou des services web. La création de messages avec des varint négatifs ou une récursion profonde nécessite une connaissance de base du format de message Protobuf. L'impact de l'exploitation peut varier en fonction de l'architecture de l'application et de la charge du système.
Applications utilizing Protobuf-php to process untrusted data are at risk. This includes services that receive Protocol Buffer messages from external sources, such as APIs or user uploads. Specifically, applications with legacy Protobuf-php configurations or those lacking robust input validation are particularly vulnerable.
• php / server:
find /var/www/html -name 'protobuf-php' -type d• php / server:
ps aux | grep 'Protobuf-php' | grep -v grep• generic web: Check application logs for errors related to Protocol Buffer parsing or unexpected crashes around the time of the vulnerability disclosure.
disclosure
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
Pour atténuer le risque associé à CVE-2026-6409, il est fortement recommandé de mettre à jour la bibliothèque Protobuf PHP à la version 5.34.0-RC1 ou 4.33.6. Ces versions incluent des corrections qui corrigent la vulnérabilité DoS. En tant que mesure temporaire, envisagez de limiter l'exposition de l'application aux entrées non fiables et d'effectuer une validation stricte des données d'entrée avant de les traiter avec Protobuf PHP. Surveiller les journaux d'application à la recherche de comportements inhabituels peut également aider à détecter les tentatives d'exploitation.
Actualice la biblioteca Protobuf-php a la versión 5.34.0-RC1 o superior para mitigar la vulnerabilidad de denegación de servicio. Asegúrese de probar la nueva versión en un entorno de desarrollo antes de implementarla en producción. Esta actualización aborda el problema al mejorar el manejo de mensajes protobuf maliciosos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Protobuf PHP est une bibliothèque pour PHP qui implémente les Protocol Buffers de Google, un mécanisme de sérialisation de données efficace et multiplateforme.
Si vous utilisez Protobuf PHP, vérifiez la version installée. Si elle est antérieure à 5.34.0-RC1 ou 4.33.6, elle est vulnérable.
En tant que mesure temporaire, validez rigoureusement les données d'entrée et limitez l'exposition aux sources non fiables.
Non, un KEV n'est actuellement pas disponible pour CVE-2026-6409.
Consultez la documentation officielle de Protobuf PHP et les sources de sécurité pertinentes pour obtenir des mises à jour et des détails supplémentaires.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.