Gratis scannen
Analyse in behandelingCVE-2026-45740

CVE-2026-45740: DoS in protobuf.js

Platform

nodejs

Component

protobufjs

Opgelost in

7.5.8

Bekijk op NVD
Opslaan

CVE-2026-45740 beschrijft een Denial of Service (DoS) kwetsbaarheid in protobuf.js, een JavaScript bibliotheek voor het compileren van protobuf definities. Deze kwetsbaarheid kan leiden tot een uitputting van de JavaScript call stack, waardoor de applicatie crasht of niet meer reageert. De kwetsbaarheid treedt op in versies 7.0.0–>= 8.0.0, < 8.2.0. Een fix is beschikbaar in versie 7.5.8 en 8.2.0.

Impact en Aanvalsscenarios

Een aanvaller kan deze kwetsbaarheid misbruiken door een speciaal ontworpen JSON descriptor te leveren, die diep geneste namespace definities bevat. Wanneer protobuf.js deze descriptor verwerkt via Root.fromJSON() of Namespace.addJSON(), kan dit leiden tot een onbeperkte recursie en uiteindelijk een overbelasting van de JavaScript call stack. Dit resulteert in een DoS aanval, waarbij de applicatie niet meer beschikbaar is voor legitieme gebruikers. De impact kan variëren afhankelijk van de context waarin protobuf.js wordt gebruikt, maar kan in ernstige gevallen leiden tot een volledige dienstweigering.

Uitbuitingscontext

Deze kwetsbaarheid is openbaar bekend en er zijn mogelijk Proof-of-Concept (POC) exploits beschikbaar. De ernst van de kwetsbaarheid is beoordeeld als MEDIUM. Er is geen informatie beschikbaar over actieve campagnes die deze kwetsbaarheid misbruiken. De kwetsbaarheid is gepubliceerd op 2026-05-13.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

CISA SSVC

Exploitatienone
Automatiseerbaaryes
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityNoneRisico op blootstelling van gevoelige dataIntegrityNoneRisico op ongeautoriseerde gegevenswijzigingAvailabilityLowRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Geen — geen vertrouwelijkheidsimpact.
Integrity
Geen — geen integriteitsimpact.
Availability
Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentprotobufjs
Leverancierprotobufjs
Minimumversie7.0.0
Maximumversie>= 8.0.0, < 8.2.0
Opgelost in7.5.8

Zwakheidsclassificatie (CWE)

CWE-674

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie is het updaten naar versie 7.5.8 of 8.2.0 van protobuf.js. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de diepte van de recursie in de JSON descriptor verwerking. Dit kan echter complex zijn en kan de functionaliteit van de applicatie beïnvloeden. Het implementeren van een Web Application Firewall (WAF) die kwaadaardige JSON descriptors detecteert en blokkeert, kan ook helpen. Controleer de configuratie van uw applicatie om te verzekeren dat er geen onbeperkte recursie mogelijk is.

Hoe te verhelpenwordt vertaald…

Actualice a la versión 7.5.8 o superior, o a la versión 8.2.0 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige la falta de un límite de profundidad en la expansión de descriptores JSON anidados, previniendo el agotamiento de la pila de llamadas.

Veelgestelde vragen

Wat is CVE-2026-45740 — DoS in protobuf.js?

CVE-2026-45740 is een Denial of Service (DoS) kwetsbaarheid in de protobuf.js bibliotheek, waardoor een aanvaller de JavaScript call stack kan overbelasten met een speciaal ontworpen JSON descriptor.

Am I affected by CVE-2026-45740 in protobuf.js?

U bent mogelijk kwetsbaar als u protobuf.js gebruikt in versie 7.0.0–>= 8.0.0, < 8.2.0. Controleer uw versies en update indien nodig.

How do I fix CVE-2026-45740 in protobuf.js?

Update protobuf.js naar versie 7.5.8 of hoger om deze kwetsbaarheid te verhelpen.

Is CVE-2026-45740 being actively exploited?

Er is momenteel geen informatie beschikbaar over actieve exploits, maar de kwetsbaarheid is openbaar bekend en POC exploits kunnen bestaan.

Where can I find the official protobuf.js advisory for CVE-2026-45740?

Raadpleeg de protobuf.js GitHub repository of de bijbehorende beveiligingsadvies voor meer informatie: [https://github.com/protocolbuffers/protobufjs](https://github.com/protocolbuffers/protobufjs)

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...