Escanear grátis
Análise pendenteCVE-2026-45740

CVE-2026-45740: DoS em protobuf.js

Plataforma

nodejs

Componente

protobufjs

Corrigido em

7.5.8

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-45740 é um ataque de Negação de Serviço (DoS) que afeta a biblioteca protobuf.js, utilizada para compilar definições protobuf em JavaScript. Um atacante pode explorar essa falha enviando um JSON malicioso com definições de namespace profundamente aninhadas, levando ao esgotamento da pilha de chamadas JavaScript durante o carregamento do descritor. A vulnerabilidade afeta versões 7.0.0–>= 8.0.0, < 8.2.0 e foi corrigida na versão 7.5.8.

Impacto e Cenários de Ataque

A exploração bem-sucedida desta vulnerabilidade pode resultar em uma negação de serviço, tornando o sistema afetado indisponível para usuários legítimos. O atacante pode causar o travamento da aplicação JavaScript que utiliza protobuf.js, interrompendo o processamento de dados e potencialmente afetando a disponibilidade de serviços críticos. A profundidade do impacto dependerá da criticidade da aplicação que utiliza a biblioteca e do volume de tráfego que ela processa. Embora a exploração exija a manipulação de um JSON descriptor, a facilidade de criação de payloads maliciosos pode aumentar o risco de ataques automatizados.

Contexto de Exploração

A vulnerabilidade CVE-2026-45740 foi publicada em 2026-05-13. A probabilidade de exploração é considerada baixa a média, dependendo da prevalência do uso da biblioteca protobuf.js em ambientes vulneráveis e da disponibilidade de exploits públicos. Atualmente, não há relatos de campanhas de exploração ativas, mas a natureza de DoS torna a vulnerabilidade um alvo potencial para ataques oportunistas. Consulte o NVD e a CISA para atualizações sobre o status da vulnerabilidade.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

CISA SSVC

Exploraçãonone
Automatizávelyes
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityNoneRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityLowRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Nenhum — sem impacto na confidencialidade.
Integrity
Nenhum — sem impacto na integridade.
Availability
Baixo — negação de serviço parcial ou intermitente.

Software Afetado

Componenteprotobufjs
Fornecedorprotobufjs
Versão mínima7.0.0
Versão máxima>= 8.0.0, < 8.2.0
Corrigido em7.5.8

Classificação de Fraqueza (CWE)

CWE-674

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária para CVE-2026-45740 é a atualização para a versão 7.5.8 ou superior da biblioteca protobuf.js. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação rigorosa de todos os JSON descriptors recebidos de fontes externas. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads JSON maliciosos com aninhamento excessivo pode ajudar a mitigar o risco. Monitore os logs da aplicação em busca de erros relacionados ao carregamento de descritores protobuf e investigue qualquer atividade suspeita.

Como corrigirtraduzindo…

Actualice a la versión 7.5.8 o superior, o a la versión 8.2.0 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige la falta de un límite de profundidad en la expansión de descriptores JSON anidados, previniendo el agotamiento de la pila de llamadas.

Perguntas frequentes

O que é CVE-2026-45740 — DoS em protobuf.js?

CVE-2026-45740 é uma vulnerabilidade de Negação de Serviço (DoS) na biblioteca protobuf.js, que permite a um atacante esgotar a pilha de chamadas JavaScript com um JSON malicioso.

Estou afetado por CVE-2026-45740 em protobuf.js?

Sim, se você estiver usando protobuf.js nas versões 7.0.0–>= 8.0.0, < 8.2.0, você está vulnerável. Verifique a versão instalada e atualize.

Como corrigir CVE-2026-45740 em protobuf.js?

Atualize para a versão 7.5.8 ou superior da biblioteca protobuf.js. Considere medidas de validação de JSON como proteção adicional.

CVE-2026-45740 está sendo ativamente explorado?

Atualmente, não há relatos de exploração ativa, mas a vulnerabilidade é um alvo potencial devido à sua natureza de DoS.

Onde posso encontrar o advisory oficial da protobuf.js para CVE-2026-45740?

Consulte o repositório oficial do protobuf.js no GitHub ou o site do projeto para obter informações e atualizações sobre a vulnerabilidade.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...