मुफ्त स्कैन करें
MEDIUMCVE-2026-44294CVSS 5.3

CVE-2026-44294: DoS in protobufjs ≤7.5.5

प्लेटफ़ॉर्म

nodejs

घटक

protobufjs

में ठीक किया गया

7.5.6

NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-44294 describes a Denial of Service (DoS) vulnerability affecting protobufjs versions 7.5.5 and earlier. An attacker can exploit this by providing a malicious protobuf schema or JSON descriptor, leading to runtime code generation errors and rendering affected message types unusable. The vulnerability was published on May 12, 2026, and mitigation strategies focus on schema validation and upgrading to a patched version.

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The primary impact of CVE-2026-44294 is a denial of service. Successful exploitation prevents the use of specific protobuf message types within applications utilizing protobufjs. This can disrupt critical functionality relying on these message formats, potentially leading to application crashes or service unavailability. The attack vector involves injecting malicious control characters into protobuf field names, which are then embedded into generated JavaScript code. This triggers syntax errors during runtime code generation, effectively disabling the message type. While the vulnerability doesn't directly expose sensitive data, the disruption of service can have significant operational consequences.

शोषण संदर्भअनुवाद हो रहा है…

CVE-2026-44294 is currently not listed on KEV or EPSS. The CVSS score is 5.3 (Medium), indicating a moderate probability of exploitation. No public Proof-of-Concept (PoC) code has been publicly released as of the publication date. Active campaigns targeting this vulnerability are not currently known, but the ease of schema manipulation suggests potential for future exploitation.

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.09% (25% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकprotobufjs
अधिकतम संस्करण7.5.5
में ठीक किया गया7.5.6

कमजोरी वर्गीकरण (CWE)

CWE-20

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The recommended mitigation for CVE-2026-44294 is to upgrade to a patched version of protobufjs. Unfortunately, a fixed version is not yet available. As a workaround, implement strict input validation on any protobuf schemas or JSON descriptors received from untrusted sources. This validation should specifically filter out or escape control characters that could be exploited. Consider using a Web Application Firewall (WAF) to inspect and block malicious protobuf payloads. Thoroughly review and sanitize any external data used to construct protobuf messages.

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 7.5.6 o superior, o a la versión 8.0.2 o superior para mitigar la vulnerabilidad.  La actualización corrige la falta de escape de caracteres de control en los nombres de los campos, previniendo posibles denegaciones de servicio durante la compilación de las funciones generadas.

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2026-44294 — DoS in protobufjs ≤7.5.5?

CVE-2026-44294 is a Denial of Service vulnerability in protobufjs versions up to 7.5.5. A malicious protobuf schema can cause runtime code generation to fail, rendering message types unusable.

Am I affected by CVE-2026-44294 in protobufjs?

If you are using protobufjs version 7.5.5 or earlier and process protobuf schemas from untrusted sources, you are potentially affected by this vulnerability.

How do I fix CVE-2026-44294 in protobufjs?

A patched version is not yet available. Implement strict input validation on protobuf schemas and consider using a WAF to block malicious payloads.

Is CVE-2026-44294 being actively exploited?

As of the publication date, there are no known active campaigns exploiting CVE-2026-44294, but the vulnerability's nature suggests potential for future exploitation.

Where can I find the official protobufjs advisory for CVE-2026-44294?

Refer to the protobufjs project's official website and GitHub repository for updates and advisories related to CVE-2026-44294.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

कोई भी मैनिफेस्ट (composer.lock, package-lock.json, WordPress प्लगइन सूची…) अपलोड करें या अपनी कंपोनेंट सूची पेस्ट करें। आपको तुरंत एक भेद्यता रिपोर्ट मिलेगी। फ़ाइल अपलोड करना सिर्फ शुरुआत है: एक अकाउंट के साथ आपको निरंतर निगरानी, Slack/ईमेल अलर्ट, मल्टी-प्रोजेक्ट और व्हाइट-लेबल रिपोर्ट मिलती है।

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringव्हाइट-लेबल रिपोर्ट

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...