मुफ्त स्कैन करें
HIGHCVE-2026-44291CVSS 8.1

CVE-2026-44291: Prototype Pollution in protobufjs

प्लेटफ़ॉर्म

nodejs

घटक

protobufjs

में ठीक किया गया

7.5.6

NVD पर देखें
सहेजें

CVE-2026-44291 protobufjs में एक प्रोटोटाइप प्रदूषण भेद्यता है। यह भेद्यता हमलावरों को उत्पन्न जावास्क्रिप्ट कोड में मनमाना कोड इंजेक्ट करने की अनुमति दे सकती है। प्रभावित संस्करण 7.5.5 से कम या उसके बराबर हैं। इस समस्या को 7.5.6 में ठीक कर दिया गया है और उपयोगकर्ताओं को तुरंत अपडेट करने की सलाह दी जाती है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को उत्पन्न protobufjs एन्कोड या डिकोड कार्यों को प्रभावित करने की अनुमति देती है। यदि Object.prototype पहले से ही दूषित हो गया है, तो लुकअप टेबल हमलावर-नियंत्रित विरासत गुणों को वैध प्रोटोटाइप प्रकार की जानकारी के रूप में हल कर सकती है। इससे हमलावर दुर्भावनापूर्ण स्ट्रिंग को उत्पन्न जावास्क्रिप्ट कोड में इंजेक्ट कर सकते हैं, जिससे संभावित रूप से मनमाना कोड निष्पादित हो सकता है। यह भेद्यता उन अनुप्रयोगों के लिए एक महत्वपूर्ण जोखिम पैदा करती है जो protobufjs पर निर्भर करते हैं, खासकर यदि वे पहले से ही प्रोटोटाइप प्रदूषण के प्रति संवेदनशील हैं।

शोषण संदर्भ

CVE-2026-44291 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन प्रोटोटाइप प्रदूषण भेद्यताएं आम तौर पर शोषण योग्य होती हैं। इस CVE की प्रकाशन तिथि 2026-05-12 है। इस भेद्यता की गंभीरता को देखते हुए, यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है। सार्वजनिक रूप से उपलब्ध शोषण प्रमाण (POC) मौजूद हो सकते हैं, लेकिन वर्तमान में व्यापक रूप से ज्ञात नहीं हैं।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.05% (15% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H8.1HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकprotobufjs
अधिकतम संस्करण7.5.5
में ठीक किया गया7.5.6

कमजोरी वर्गीकरण (CWE)

CWE-94CWE-1321

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-44291 के लिए प्राथमिक शमन उपाय protobufjs को संस्करण 7.5.6 या उच्चतर में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो प्रोटोटाइप प्रदूषण से बचाव के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। इसमें Object.prototype को दूषित होने से रोकने के लिए सख्त इनपुट सत्यापन और सैनिटाइजेशन शामिल है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को कॉन्फ़िगर किया जा सकता है ताकि दुर्भावनापूर्ण अनुरोधों को ब्लॉक किया जा सके जो प्रोटोटाइप प्रदूषण का प्रयास करते हैं। अपडेट करने के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, उत्पन्न कोड की समीक्षा करके और यह सुनिश्चित करके कि कोई अनपेक्षित व्यवहार नहीं है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 7.5.6 o superior, o a la versión 8.0.2 o superior para mitigar la vulnerabilidad de contaminación de prototipos que podría permitir la inyección de código.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44291 — प्रोटोटाइप प्रदूषण protobufjs में क्या है?

CVE-2026-44291 protobufjs लाइब्रेरी में एक प्रोटोटाइप प्रदूषण भेद्यता है जो हमलावरों को उत्पन्न जावास्क्रिप्ट कोड में मनमाना कोड इंजेक्ट करने की अनुमति दे सकती है। यह भेद्यता तब होती है जब protobufjs आंतरिक लुकअप तालिकाओं के लिए दूषित प्रोटोटाइप ऑब्जेक्ट का उपयोग करता है।

क्या मैं CVE-2026-44291 में protobufjs से प्रभावित हूं?

यदि आप protobufjs के संस्करण 7.5.5 से कम या उसके बराबर का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं। तुरंत संस्करण 7.5.6 या उच्चतर में अपडेट करें।

CVE-2026-44291 में protobufjs को कैसे ठीक करें?

CVE-2026-44291 को ठीक करने का सबसे अच्छा तरीका protobufjs को संस्करण 7.5.6 या उच्चतर में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो प्रोटोटाइप प्रदूषण से बचाव के लिए अतिरिक्त सुरक्षा उपाय लागू करें।

क्या CVE-2026-44291 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-44291 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन प्रोटोटाइप प्रदूषण भेद्यताएं आम तौर पर शोषण योग्य होती हैं। सतर्क रहना और तुरंत अपडेट करना महत्वपूर्ण है।

CVE-2026-44291 के लिए आधिकारिक protobufjs सलाहकार कहां मिल सकता है?

आप आधिकारिक protobufjs सलाहकार को यहां पा सकते हैं: [https://github.com/protobufjs/protobufjs/security/advisories/GHSA-5g9x-693x-x49r](https://github.com/protobufjs/protobufjs/security/advisories/GHSA-5g9x-693x-x49r)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

कोई भी मैनिफेस्ट (composer.lock, package-lock.json, WordPress प्लगइन सूची…) अपलोड करें या अपनी कंपोनेंट सूची पेस्ट करें। आपको तुरंत एक भेद्यता रिपोर्ट मिलेगी। फ़ाइल अपलोड करना सिर्फ शुरुआत है: एक अकाउंट के साथ आपको निरंतर निगरानी, Slack/ईमेल अलर्ट, मल्टी-प्रोजेक्ट और व्हाइट-लेबल रिपोर्ट मिलती है।

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringव्हाइट-लेबल रिपोर्ट

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...