मुफ्त स्कैन करें
विश्लेषण प्रतीक्षितCVE-2026-45740

CVE-2026-45740: DoS in protobuf.js

प्लेटफ़ॉर्म

nodejs

घटक

protobufjs

में ठीक किया गया

7.5.8

NVD पर देखें
सहेजें

CVE-2026-45740 protobuf.js में एक Denial of Service (DoS) भेद्यता है। यह भेद्यता तब उत्पन्न होती है जब protobuf.js JSON विवरणों को संसाधित करते समय गहराई सीमा के बिना पुनरावृति करता है, जिससे संभावित रूप से कॉल स्टैक समाप्त हो जाता है। यह भेद्यता protobuf.js के संस्करण 7.0.0–>= 8.0.0 और < 8.2.0 को प्रभावित करती है, और इसे संस्करण 7.5.8 और 8.2.0 में ठीक किया गया है।

प्रभाव और हमले की स्थितियाँ

एक हमलावर एक विशेष रूप से तैयार JSON विवरण का उपयोग करके protobuf.js में DoS भेद्यता का फायदा उठा सकता है। यह विवरण अत्यधिक नेस्टेड नेमस्पेस परिभाषाओं के साथ बनाया गया है, जिससे protobuf.js विवरण लोड करते समय पुनरावृति के दौरान कॉल स्टैक समाप्त हो जाता है। इससे प्रभावित सेवा का इनकार हो सकता है, जिससे यह अनुपलब्ध हो जाती है। इस भेद्यता का उपयोग अन्य प्रणालियों तक पहुंचने के लिए नहीं किया जा सकता है, लेकिन यह प्रभावित सेवा को पूरी तरह से बाधित कर सकता है।

शोषण संदर्भ

CVE-2026-45740 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है। NVD और CISA ने इस भेद्यता के बारे में कोई जानकारी जारी नहीं की है। सार्वजनिक रूप से उपलब्ध शोषण प्रमाण (POC) मौजूद नहीं हैं। इस भेद्यता की संभावना मध्यम है, क्योंकि यह एक DoS भेद्यता है और इसे शोषण करने के लिए विशेष रूप से तैयार JSON विवरण की आवश्यकता होती है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकprotobufjs
विक्रेताprotobufjs
न्यूनतम संस्करण7.0.0
अधिकतम संस्करण>= 8.0.0, < 8.2.0
में ठीक किया गया7.5.8

कमजोरी वर्गीकरण (CWE)

CWE-674

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

CVE-2026-45740 के लिए प्राथमिक शमन उपाय protobuf.js को संस्करण 7.5.8 या 8.2.0 में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके अत्यधिक नेस्टेड JSON विवरणों को फ़िल्टर कर सकते हैं। इसके अतिरिक्त, आप protobuf.js द्वारा संसाधित JSON विवरणों की इनपुट सत्यापन को लागू कर सकते हैं ताकि यह सुनिश्चित किया जा सके कि वे गहराई सीमा के भीतर हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, विवरणों को संसाधित करके और यह सुनिश्चित करके कि कोई त्रुटि नहीं है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 7.5.8 o superior, o a la versión 8.2.0 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige la falta de un límite de profundidad en la expansión de descriptores JSON anidados, previniendo el agotamiento de la pila de llamadas.

अक्सर पूछे जाने वाले सवाल

CVE-2026-45740 — DoS protobuf.js में क्या है?

CVE-2026-45740 protobuf.js में एक Denial of Service (DoS) भेद्यता है जो अत्यधिक नेस्टेड JSON विवरणों के कारण कॉल स्टैक को समाप्त कर सकती है।

क्या मैं CVE-2026-45740 में protobuf.js से प्रभावित हूं?

यदि आप protobuf.js के संस्करण 7.0.0–>= 8.0.0 और < 8.2.0 चला रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2026-45740 में protobuf.js को कैसे ठीक करूं?

CVE-2026-45740 को ठीक करने के लिए, protobuf.js को संस्करण 7.5.8 या 8.2.0 में अपग्रेड करें।

क्या CVE-2026-45740 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-45740 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन सतर्क रहना महत्वपूर्ण है।

मैं CVE-2026-45740 के लिए आधिकारिक protobuf.js सलाहकार कहां पा सकता हूं?

आप आधिकारिक protobuf.js सलाहकार यहां पा सकते हैं: [https://github.com/protocolbuffers/protobufjs/security/advisories](https://github.com/protocolbuffers/protobufjs/security/advisories)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...