मुफ्त स्कैन करें
HIGHCVE-2026-44290CVSS 7.5

CVE-2026-44290: DoS in protobuf.js

प्लेटफ़ॉर्म

nodejs

घटक

protobufjs

में ठीक किया गया

7.5.6

NVD पर देखें
सहेजें

CVE-2026-44290 protobuf.js में एक Denial of Service (DoS) भेद्यता है। यह भेद्यता दुर्भावनापूर्ण protobuf स्कीमा या JSON विवरण के माध्यम से प्रक्रिया-व्यापी अंतर्निहित कार्यक्षमता को दूषित करने की अनुमति देती है, जिसके परिणामस्वरूप लगातार सेवा से इनकार हो सकता है। यह भेद्यता protobuf.js के संस्करण 7.5.0 से लेकर 8.0.2 तक के संस्करणों को प्रभावित करती है, और इसे संस्करण 7.5.6 में ठीक किया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता एक हमलावर को protobuf स्कीमा या JSON विवरण प्रदान करने या प्रभावित करने की अनुमति देती है। दुर्भावनापूर्ण स्कीमा या विवरण protobuf.js को वैश्विक जावास्क्रिप्ट कंस्ट्रक्टरों पर गुणों को लिखने के लिए मजबूर कर सकते हैं, जिससे प्रक्रिया-व्यापी अंतर्निहित कार्यक्षमता दूषित हो जाती है। दूषित कार्यक्षमता के कारण बाद के एप्लिकेशन कोड या protobuf.js कोड विफल हो सकते हैं, जिसके परिणामस्वरूप लगातार सेवा से इनकार हो सकता है। इस भेद्यता का प्रभाव व्यापक हो सकता है, क्योंकि यह किसी भी एप्लिकेशन को प्रभावित कर सकता है जो protobuf.js का उपयोग करता है और दुर्भावनापूर्ण स्कीमा या विवरण के संपर्क में आता है। यह विशेष रूप से चिंताजनक है क्योंकि protobuf का उपयोग अक्सर डेटा इंटरचेंज और सीरियललाइज़ेशन के लिए किया जाता है, जिसका अर्थ है कि हमलावर स्कीमा या विवरण को विभिन्न तरीकों से इंजेक्ट कर सकते हैं।

शोषण संदर्भ

CVE-2026-44290 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और संभावित प्रभाव के कारण यह चिंता का विषय है। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध शोषण प्रमाण का प्रमाण (POC) मौजूद है, जो इसका शोषण करना संभव बनाता है। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है, जो इसकी गंभीरता को और उजागर करती है। इस भेद्यता की संभावना का मूल्यांकन अभी भी किया जा रहा है, लेकिन यह संभावित रूप से उच्च जोखिम वाला माना जाता है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.04% (13% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H7.5HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकprotobufjs
विक्रेताprotobufjs
न्यूनतम संस्करण7.5.0
अधिकतम संस्करण>= 8.0.0, < 8.0.2
में ठीक किया गया7.5.6

कमजोरी वर्गीकरण (CWE)

CWE-1321

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-44290 के लिए प्राथमिक शमन उपाय protobuf.js को संस्करण 7.5.6 या बाद के संस्करण में अपग्रेड करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट किए गए protobuf स्कीमा या JSON विवरणों को मान्य करने के लिए सख्त सत्यापन लागू किया जा सकता है। यह सुनिश्चित करता है कि केवल विश्वसनीय और मान्य स्कीमा या विवरण संसाधित किए जाएं। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग दुर्भावनापूर्ण अनुरोधों को ब्लॉक करने के लिए किया जा सकता है जो इस भेद्यता का शोषण करने का प्रयास करते हैं। अपग्रेड के बाद, यह सत्यापित करें कि protobuf.js ठीक से काम कर रहा है और कोई अप्रत्याशित व्यवहार नहीं है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 7.5.6 o superior, o a la versión 8.0.2 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige la forma en que protobufjs maneja las opciones del esquema, evitando la escritura en propiedades globales de JavaScript.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44290 — DoS protobuf.js में क्या है?

CVE-2026-44290 protobuf.js में एक Denial of Service (DoS) भेद्यता है जो दुर्भावनापूर्ण protobuf स्कीमा या JSON विवरण के माध्यम से प्रक्रिया-व्यापी अंतर्निहित कार्यक्षमता को दूषित करने की अनुमति देती है।

क्या मैं CVE-2026-44290 में protobuf.js से प्रभावित हूं?

यदि आप protobuf.js के संस्करण 7.5.0 से लेकर 8.0.2 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-44290 में protobuf.js को कैसे ठीक करूं?

CVE-2026-44290 को ठीक करने के लिए, protobuf.js को संस्करण 7.5.6 या बाद के संस्करण में अपग्रेड करें।

क्या CVE-2026-44290 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध शोषण प्रमाण का प्रमाण (POC) मौजूद है, लेकिन इसे अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है।

CVE-2026-44290 के लिए आधिकारिक protobuf.js सलाहकार कहां मिल सकता है?

आप आधिकारिक protobuf.js सलाहकार यहां पा सकते हैं: [https://www.npmjs.com/advisories/1738](https://www.npmjs.com/advisories/1738)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

कोई भी मैनिफेस्ट (composer.lock, package-lock.json, WordPress प्लगइन सूची…) अपलोड करें या अपनी कंपोनेंट सूची पेस्ट करें। आपको तुरंत एक भेद्यता रिपोर्ट मिलेगी। फ़ाइल अपलोड करना सिर्फ शुरुआत है: एक अकाउंट के साथ आपको निरंतर निगरानी, Slack/ईमेल अलर्ट, मल्टी-प्रोजेक्ट और व्हाइट-लेबल रिपोर्ट मिलती है।

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringव्हाइट-लेबल रिपोर्ट

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...