Plataforma
nodejs
Componente
protobufjs
Corrigido em
7.5.6
8.0.1
8.0.1
A vulnerabilidade CVE-2026-41242 é uma falha de execução remota de código (RCE) encontrada na biblioteca protobufjs. Essa falha permite que um atacante execute código JavaScript malicioso ao fornecer um descritor protobuf JSON malicioso. As versões afetadas são 8.0.0 e 8.0.1; a correção está disponível na versão 7.5.5.
Um atacante que consegue controlar o protobuf schema ou descritor carregado pode injetar código JavaScript malicioso que será executado no contexto do processo que utiliza protobufjs. Isso pode levar à execução arbitrária de código, permitindo que o atacante comprometa a aplicação e potencialmente o sistema subjacente. A exploração bem-sucedida requer a capacidade de influenciar o conteúdo do descritor protobuf, o que pode ser possível em aplicações que recebem dados protobuf de fontes não confiáveis ou que utilizam descritores protobuf gerados dinamicamente.
A vulnerabilidade foi divulgada em 2026-04-16. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração.
Applications built on Node.js that utilize the protobufjs library, particularly those that load protobuf definitions or JSON descriptors from external or untrusted sources, are at significant risk. This includes microservices, API gateways, and any application that processes data serialized using Protocol Buffers.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object -ExpandProperty CommandLine | Select-String -Pattern 'require\("protobufjs"\)'• nodejs / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Node.js']]]'• generic web: Inspect Node.js application code for instances where protobufjs is used to load descriptors from external sources. • generic web: Review application logs for any errors or warnings related to protobufjs schema parsing or code generation.
disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão 7.5.5 do protobufjs, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar validações rigorosas nos descritores protobuf JSON carregados, verificando a integridade e a validade do schema. Implementar uma camada de proteção, como um Web Application Firewall (WAF), pode ajudar a bloquear solicitações maliciosas. Monitore logs de aplicação em busca de padrões suspeitos de manipulação de protobuf.
Atualize para a versão 8.0.1 ou superior, ou para a versão 7.5.5 para mitigar a vulnerabilidade de execução arbitrária de código. Esta vulnerabilidade permite a injeção de código malicioso nos campos 'type' das definições de protobuf, que é executado durante a decodificação de objetos. A atualização corrige este problema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-41242 is a critical remote code execution vulnerability in the protobufjs library for Node.js, allowing attackers to execute arbitrary JavaScript code by crafting malicious protobuf schema metadata.
You are affected if you are using protobufjs versions 8.0.0 through 8.0.1 in your Node.js application and load protobuf definitions or JSON descriptors from untrusted sources.
Upgrade to protobufjs version 7.5.5 or later. If immediate upgrade isn't possible, implement strict input validation on protobuf definitions and descriptors.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation, and monitoring is crucial.
Refer to the official protobufjs project's security advisories and GitHub repository for updates and detailed information: [https://github.com/protobufjs/protobufjs](https://github.com/protobufjs/protobufjs)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.