無料スキャン
分析待ちCVE-2026-45740

CVE-2026-45740: DoS in protobuf.js

プラットフォーム

nodejs

コンポーネント

protobufjs

修正版

7.5.8

NVDで見る
保存

CVE-2026-45740は、protobuf.jsにおけるサービス拒否(DoS)脆弱性です。protobuf.jsは、Protobuf定義をJavaScript関数にコンパイルするライブラリです。脆弱性は、JSON記述子をRoot.fromJSON()またはNamespace.addJSON()で処理する際に、ネストされた定義の展開中に深さ制限なしに再帰が発生することによって引き起こされます。バージョン7.0.0–>= 8.0.0, < 8.2.0が影響を受け、7.5.8および8.2.0で修正されています。

影響と攻撃シナリオ

この脆弱性を悪用すると、攻撃者は悪意のあるJSON記述子をprotobuf.jsに送信することで、JavaScriptコールスタックを枯渇させ、システムをDoS状態に陥れる可能性があります。これにより、アプリケーションは応答しなくなり、サービスが中断される可能性があります。攻撃者は、この脆弱性を利用して、アプリケーションの可用性を低下させ、機密情報を盗むための足がかりとして利用する可能性があります。特に、protobuf.jsを外部からの入力データ処理に利用しているアプリケーションは、攻撃のリスクが高まります。

悪用の状況

CVE-2026-45740は、2026年5月13日に公開されました。現時点では、KEV(Kernel Exploitability Tracking)への登録状況は不明です。EPSS(Exploit Prediction Score System)スコアは、公開されている情報からは判断できません。パブリックなPoC(Proof of Concept)は確認されていませんが、DoS攻撃の可能性を考慮し、注意が必要です。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の情報を入手するようにしてください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CISA SSVC

悪用状況none
自動化可能yes
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityLowサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
なし — 完全性への影響なし。
Availability
低 — 部分的または断続的なサービス拒否。

影響を受けるソフトウェア

コンポーネントprotobufjs
ベンダーprotobufjs
最小バージョン7.0.0
最大バージョン>= 8.0.0, < 8.2.0
修正版7.5.8

弱点分類 (CWE)

CWE-674

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

この脆弱性への対応策として、まず、protobuf.jsをバージョン7.5.8または8.2.0にアップグレードすることを推奨します。アップグレードが困難な場合は、一時的な回避策として、入力されるJSON記述子の深さを制限するカスタムのバリデーションロジックを実装することを検討してください。また、WAF(Web Application Firewall)を導入し、異常なJSON記述子を検知・ブロックするルールを設定することも有効です。アップグレード後、protobuf.jsのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice a la versión 7.5.8 o superior, o a la versión 8.2.0 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige la falta de un límite de profundidad en la expansión de descriptores JSON anidados, previniendo el agotamiento de la pila de llamadas.

よくある質問

CVE-2026-45740 — DoS in protobuf.jsとは何ですか?

CVE-2026-45740は、protobuf.jsライブラリのJSON記述子処理におけるサービス拒否(DoS)脆弱性です。悪意のあるJSON記述子により、JavaScriptコールスタックが枯渇し、システムが応答しなくなる可能性があります。

CVE-2026-45740 in protobuf.jsに影響はありますか?

protobuf.jsのバージョンが7.0.0–>= 8.0.0, < 8.2.0である場合、この脆弱性に影響を受ける可能性があります。バージョンを確認し、必要に応じてアップグレードしてください。

CVE-2026-45740 in protobuf.jsを修正するにはどうすればよいですか?

protobuf.jsをバージョン7.5.8または8.2.0にアップグレードしてください。アップグレードが困難な場合は、入力されるJSON記述子の深さを制限するバリデーションロジックを実装することを検討してください。

CVE-2026-45740は積極的に悪用されていますか?

現時点では、パブリックなPoCは確認されていませんが、DoS攻撃の可能性を考慮し、注意が必要です。最新の情報をNVDおよびCISAのサイトで確認してください。

CVE-2026-45740のprotobuf.js公式アドバイザリはどこで入手できますか?

protobuf.jsの公式アドバイザリは、通常、プロジェクトのGitHubリポジトリまたは公式ウェブサイトで公開されます。https://github.com/protocolbuffers/protobufjs を確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...