प्लेटफ़ॉर्म
nodejs
घटक
protobufjs
में ठीक किया गया
7.5.6
8.0.1
8.0.1
CVE-2026-41242 protobufjs में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता तब उत्पन्न होती है जब protobufjs दुर्भावनापूर्ण protobuf स्कीमा मेटाडेटा से प्राप्त जावास्क्रिप्ट कोड को निष्पादित करता है। इसका प्रभाव गंभीर है, क्योंकि एक हमलावर मनमाना कोड निष्पादित कर सकता है। यह भेद्यता protobufjs के संस्करण 8.0.0 से 8.0.1 तक के संस्करणों को प्रभावित करती है, और इसे संस्करण 7.5.5 में ठीक किया गया है।
यह भेद्यता एक हमलावर को protobuf परिभाषा या JSON विवरण को एक एप्लिकेशन में इंजेक्ट करने की अनुमति देती है, जिससे वे मनमाना जावास्क्रिप्ट कोड निष्पादित कर सकते हैं। यह उन अनुप्रयोगों के लिए विशेष रूप से खतरनाक है जो बाहरी स्रोतों से protobuf संदेशों को डीकोड करते हैं, क्योंकि हमलावर दुर्भावनापूर्ण स्कीमा प्रदान करके सिस्टम को नियंत्रित कर सकते हैं। इस भेद्यता का उपयोग डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियों के लिए किया जा सकता है। यह भेद्यता Log4Shell जैसी शोषण पैटर्न के समान है, जहां एक हमलावर बाहरी इनपुट के माध्यम से कोड निष्पादित कर सकता है।
CVE-2026-41242 को अभी तक KEV में सूचीबद्ध नहीं किया गया है, लेकिन इसका CVSS स्कोर 9.8 है, जो उच्च जोखिम का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन सक्रिय शोषण के बारे में कोई जानकारी नहीं है। यह भेद्यता 2026-04-16 को प्रकाशित हुई थी।
Applications built on Node.js that utilize the protobufjs library, particularly those that load protobuf definitions or JSON descriptors from external or untrusted sources, are at significant risk. This includes microservices, API gateways, and any application that processes data serialized using Protocol Buffers.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object -ExpandProperty CommandLine | Select-String -Pattern 'require\("protobufjs"\)'• nodejs / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Node.js']]]'• generic web: Inspect Node.js application code for instances where protobufjs is used to load descriptors from external sources. • generic web: Review application logs for any errors or warnings related to protobufjs schema parsing or code generation.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CISA SSVC
CVE-2026-41242 के लिए प्राथमिक शमन उपाय protobufjs को संस्करण 7.5.5 या बाद के संस्करण में अपडेट करना है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट सत्यापन को मजबूत करके और यह सुनिश्चित करके कि केवल विश्वसनीय स्रोतों से ही protobuf स्कीमा लोड किए जाते हैं, जोखिम को कम किया जा सकता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को भी लागू किया जा सकता है ताकि दुर्भावनापूर्ण protobuf संदेशों को फ़िल्टर किया जा सके। अपडेट करने के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, protobufjs को एक ज्ञात सुरक्षित संदेश के साथ लोड करके और यह सुनिश्चित करके कि कोई अनपेक्षित कोड निष्पादित नहीं होता है।
8.0.1 या उच्चतर संस्करण, या 7.5.5 संस्करण में अपडेट करें ताकि मनमाना कोड निष्पादन के भेद्यता को कम किया जा सके। यह भेद्यता protobuf परिभाषाओं के 'type' फ़ील्ड में दुर्भावनापूर्ण कोड के इंजेक्शन की अनुमति देती है, जो ऑब्जेक्ट डिकोडिंग के दौरान निष्पादित होती है। अपडेट इस समस्या को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-41242 protobufjs में एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो दुर्भावनापूर्ण protobuf स्कीमा के माध्यम से मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है।
यदि आप protobufjs के संस्करण 8.0.0 से 8.0.1 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
protobufjs को संस्करण 7.5.5 या बाद के संस्करण में अपडेट करें।
सक्रिय शोषण के बारे में कोई जानकारी नहीं है, लेकिन उच्च CVSS स्कोर के कारण जोखिम अधिक है।
आधिकारिक सलाहकार के लिए protobufjs परियोजना की वेबसाइट या संबंधित सुरक्षा बुलेटिन देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।