प्लेटफ़ॉर्म
php
घटक
protobuf/protobuf
में ठीक किया गया
5.34.0-RC1
4.33.6
CVE-2026-6409 Protobuf PHP लाइब्रेरी में एक Denial of Service (DoS) भेद्यता है। अविश्वसनीय इनपुट को पार्स करते समय, दुर्भावनापूर्ण रूप से संरचित संदेश, जैसे कि नकारात्मक varints या गहरी पुनरावृत्ति, एप्लिकेशन को क्रैश कर सकते हैं और सेवा की उपलब्धता को प्रभावित कर सकते हैं। यह भेद्यता Protobuf-php के संस्करण 0.0.0 से लेकर 5.34.0-RC1 तक के संस्करणों को प्रभावित करती है। 5.34.0-RC1 में एक पैच जारी किया गया है।
Protobuf PHP लाइब्रेरी (Pecl) (CVE-2026-6409) में, अविश्वसनीय इनपुट को पार्स करते समय एक Denial of Service (DoS) भेद्यता मौजूद है। विशेष रूप से नकारात्मक varint मान या गहरी पुनरावृत्ति वाले दुर्भावनापूर्ण रूप से संरचित संदेश एप्लिकेशन को क्रैश कर सकते हैं, जिससे सेवा की उपलब्धता प्रभावित होती है। एक हमलावर इस कमजोरी का फायदा उठाकर Protobuf PHP पर निर्भर अनुप्रयोगों के सामान्य संचालन को बाधित कर सकता है, जिससे डाउनटाइम और संभावित डेटा हानि हो सकती है। इस भेद्यता की गंभीरता इस तथ्य में निहित है कि दुर्भावनापूर्ण संदेश बनाना आसान है और विभिन्न अनुप्रयोगों पर व्यापक प्रभाव पड़ सकता है।
इस भेद्यता का फायदा उठाने के लिए, एक हमलावर को एप्लिकेशन को भेजे गए Protobuf संदेशों की संरचना को नियंत्रित करने में सक्षम होना चाहिए। यह उन परिदृश्यों में हो सकता है जहां एप्लिकेशन API या वेब सेवाओं जैसे बाहरी स्रोतों से संदेश प्राप्त करता है। नकारात्मक varint मान या गहरी पुनरावृत्ति वाले संदेश बनाने के लिए Protobuf संदेश प्रारूप की बुनियादी समझ की आवश्यकता होती है। शोषण का प्रभाव एप्लिकेशन आर्किटेक्चर और सिस्टम लोड के आधार पर भिन्न हो सकता है।
Applications utilizing Protobuf-php to process untrusted data are at risk. This includes services that receive Protocol Buffer messages from external sources, such as APIs or user uploads. Specifically, applications with legacy Protobuf-php configurations or those lacking robust input validation are particularly vulnerable.
• php / server:
find /var/www/html -name 'protobuf-php' -type d• php / server:
ps aux | grep 'Protobuf-php' | grep -v grep• generic web: Check application logs for errors related to Protocol Buffer parsing or unexpected crashes around the time of the vulnerability disclosure.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.09% (25% शतमक)
CISA SSVC
CVE-2026-6409 से जुड़े जोखिम को कम करने के लिए, Protobuf PHP लाइब्रेरी को संस्करण 5.34.0-RC1 या 4.33.6 में अपडेट करने की पुरजोर अनुशंसा की जाती है। इन संस्करणों में DoS भेद्यता को संबोधित करने वाले फिक्स शामिल हैं। एक अस्थायी उपाय के रूप में, एप्लिकेशन के अविश्वसनीय इनपुट के संपर्क को सीमित करने और Protobuf PHP के साथ डेटा को संसाधित करने से पहले सख्त इनपुट सत्यापन करने पर विचार करें। एप्लिकेशन लॉग की निगरानी में असामान्य व्यवहार की तलाश करना भी संभावित शोषण प्रयासों का पता लगाने में मदद कर सकता है।
Actualice la biblioteca Protobuf-php a la versión 5.34.0-RC1 o superior para mitigar la vulnerabilidad de denegación de servicio. Asegúrese de probar la nueva versión en un entorno de desarrollo antes de implementarla en producción. Esta actualización aborda el problema al mejorar el manejo de mensajes protobuf maliciosos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Protobuf PHP PHP के लिए एक लाइब्रेरी है जो Google के Protocol Buffers को लागू करती है, जो एक कुशल और क्रॉस-प्लेटफ़ॉर्म डेटा सीरियललाइज़ेशन तंत्र है।
यदि आप Protobuf PHP का उपयोग कर रहे हैं, तो स्थापित संस्करण की जांच करें। यदि यह 5.34.0-RC1 या 4.33.6 से पुराना है, तो यह कमजोर है।
एक अस्थायी उपाय के रूप में, इनपुट डेटा को सख्ती से मान्य करें और अविश्वसनीय स्रोतों के संपर्क को सीमित करें।
नहीं, CVE-2026-6409 के लिए वर्तमान में KEV उपलब्ध नहीं है।
अद्यतन और अतिरिक्त विवरण के लिए आधिकारिक Protobuf PHP दस्तावेज़ और प्रासंगिक सुरक्षा स्रोतों से परामर्श लें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।