Escanear grátis
Análise pendenteCVE-2026-44295

CVE-2026-44295: Code Injection em protobuf.js 2.0.0-2.0.1

Plataforma

nodejs

Componente

protobufjs

Corrigido em

2.0.2

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-44295 afeta a biblioteca protobuf.js, especificamente a geração estática de código JavaScript. Um atacante pode explorar essa falha para injetar código JavaScript malicioso no código gerado, comprometendo a segurança da aplicação. As versões afetadas são 2.0.0 até 2.0.1. A correção foi implementada na versão 2.0.2.

Impacto e Cenários de Ataque

A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código JavaScript arbitrário no contexto da aplicação que utiliza protobuf.js. Isso pode levar à roubo de dados sensíveis, como credenciais de usuário, informações de sessão ou dados de configuração. Além disso, o atacante pode obter controle sobre o servidor, permitindo a execução de comandos remotos e a instalação de malware. O impacto é significativo, especialmente em aplicações que processam dados de fontes não confiáveis, pois um esquema malicioso pode ser usado para injetar código malicioso.

Contexto de Exploração

A vulnerabilidade foi publicada em 2026-05-13. A probabilidade de exploração é considerada média, dada a complexidade da criação de um esquema malicioso e a necessidade de um atacante ter controle sobre os dados de entrada. Não há relatos públicos de exploração ativa no momento. A vulnerabilidade não está listada no KEV (Kernel Exploit Vulnerability Database) ou EPSS (Exploit Prediction Scoring System).

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

CISA SSVC

Exploraçãonone
Automatizávelno
Impacto Técnicototal

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N8.7HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionRequiredSe a vítima precisa tomar uma açãoScopeChangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
Scope
Alterado — o ataque pode pivotar para além do componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componenteprotobufjs
Fornecedorprotobufjs
Versão mínima2.0.0
Versão máxima>= 2.0.0, < 2.0.2
Corrigido em2.0.2

Classificação de Fraqueza (CWE)

CWE-94

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária é atualizar a biblioteca protobuf.js para a versão 2.0.2 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa dos esquemas protobuf antes de gerar código JavaScript. Implementar um WAF (Web Application Firewall) com regras para detectar e bloquear solicitações com esquemas protobuf maliciosos pode ajudar a reduzir o risco. Verifique se a biblioteca protobuf.js está sendo utilizada em um ambiente isolado para limitar o impacto de uma possível exploração. Após a atualização, confirme a correção verificando a versão da biblioteca e realizando testes de segurança.

Como corrigirtraduzindo…

Actualice la biblioteca protobuf.js a la versión 2.0.2 o superior, o a la versión 1.2.1 o superior si está utilizando una versión anterior a 2.0.0. Esto solucionará la vulnerabilidad de inyección de código al sanear correctamente los nombres de los esquemas.

Perguntas frequentes

O que é CVE-2026-44295 — Injeção de código em protobuf.js?

CVE-2026-44295 é uma vulnerabilidade de injeção de código na biblioteca protobuf.js, que permite a geração de código JavaScript malicioso a partir de esquemas protobuf controlados. Afeta as versões 2.0.0 até 2.0.1.

Estou afetado pelo CVE-2026-44295 em protobuf.js?

Se você estiver utilizando protobuf.js nas versões 2.0.0 até 2.0.1, você está potencialmente afetado. Verifique a versão da sua biblioteca e atualize para a versão 2.0.2 ou superior.

Como corrigir CVE-2026-44295 em protobuf.js?

A correção é atualizar a biblioteca protobuf.js para a versão 2.0.2 ou superior. Considere também implementar validação de esquemas e um WAF para mitigar o risco.

CVE-2026-44295 está sendo ativamente explorado?

Até o momento, não há relatos públicos de exploração ativa da vulnerabilidade CVE-2026-44295, mas a probabilidade de exploração é considerada média.

Onde posso encontrar o advisory oficial do protobuf.js para CVE-2026-44295?

Consulte o repositório oficial do protobuf.js no GitHub para obter informações e atualizações sobre a vulnerabilidade: [https://github.com/protocolbuffers/protobufjs](https://github.com/protocolbuffers/protobufjs)

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...