Platform
nodejs
Component
protobufjs
Opgelost in
7.5.6
8.0.1
8.0.1
CVE-2026-41242 is a critical remote code execution (RCE) vulnerability affecting the protobufjs library in Node.js. The vulnerability arises from insufficient validation during the generation of JavaScript code from protobuf schema metadata. An attacker can exploit this by providing a crafted JSON descriptor, potentially leading to arbitrary code execution within the application's process. Affected versions include 8.0.0 through 8.0.1; upgrading to version 7.5.5 resolves the issue.
Een aanvaller die controle heeft over een malicious protobuf definitie of JSON descriptor die aan een applicatie wordt aangeboden, kan potentieel willekeurige JavaScript code uitvoeren in de context van het proces dat protobufjs gebruikt. Dit kan leiden tot volledige overname van het systeem, data-exfiltratie en verdere aanvallen op andere systemen binnen het netwerk. De impact is vergelijkbaar met andere RCE-kwetsbaarheden waarbij een aanvaller code kan injecteren en uitvoeren, waardoor de integriteit en vertrouwelijkheid van de applicatie en de onderliggende infrastructuur in gevaar komen. De kwetsbaarheid vereist controle over het protobuf schema of descriptor dat wordt geladen.
Deze kwetsbaarheid is openbaar bekend en de impact is hoog. Er is geen informatie beschikbaar over actieve campagnes of KEV-status op het moment van publicatie. Er zijn publieke proof-of-concept exploits beschikbaar, wat de kans op uitbuiting vergroot. De kwetsbaarheid werd gepubliceerd op 2026-04-16.
Applications built on Node.js that utilize the protobufjs library, particularly those that load protobuf definitions or JSON descriptors from external or untrusted sources, are at significant risk. This includes microservices, API gateways, and any application that processes data serialized using Protocol Buffers.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object -ExpandProperty CommandLine | Select-String -Pattern 'require\("protobufjs"\)'• nodejs / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Node.js']]]'• generic web: Inspect Node.js application code for instances where protobufjs is used to load descriptors from external sources. • generic web: Review application logs for any errors or warnings related to protobufjs schema parsing or code generation.
disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar protobufjs versie 7.5.5 of hoger. Indien een upgrade niet direct mogelijk is, kan een tijdelijke workaround bestaan uit het valideren van de protobuf schema's en descriptors die worden geladen, om te voorkomen dat malicious code wordt uitgevoerd. Implementeer strenge input validatie en sanitatie om te voorkomen dat onbetrouwbare data wordt gebruikt om protobuf schema's te genereren. Overweeg het gebruik van een Web Application Firewall (WAF) om verdachte requests te blokkeren. Na de upgrade, verifieer de fix door het proberen te laden van een bekende malicious protobuf descriptor en controleer of de code niet wordt uitgevoerd.
Werk bij naar versie 8.0.1 of hoger, of naar versie 7.5.5 om de kwetsbaarheid voor willekeurige code-uitvoering te verhelpen. Deze kwetsbaarheid maakt het mogelijk om kwaadwillige code in de 'type' velden van protobuf definities te injecteren, die wordt uitgevoerd tijdens het decoderen van objecten. De update patch dit probleem.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-41242 is a critical remote code execution vulnerability in the protobufjs library for Node.js, allowing attackers to execute arbitrary JavaScript code by crafting malicious protobuf schema metadata.
You are affected if you are using protobufjs versions 8.0.0 through 8.0.1 in your Node.js application and load protobuf definitions or JSON descriptors from untrusted sources.
Upgrade to protobufjs version 7.5.5 or later. If immediate upgrade isn't possible, implement strict input validation on protobuf definitions and descriptors.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation, and monitoring is crucial.
Refer to the official protobufjs project's security advisories and GitHub repository for updates and detailed information: [https://github.com/protobufjs/protobufjs](https://github.com/protobufjs/protobufjs)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.