Plataforma
php
Componente
protobuf/protobuf
Corrigido em
5.34.0-RC1
4.33.6
A vulnerabilidade CVE-2026-6409 afeta a biblioteca Protobuf PHP, permitindo um ataque de Negação de Serviço (DoS). Exploite envolve o envio de mensagens maliciosamente estruturadas, contendo varints negativos ou recursão profunda, que podem levar ao travamento da aplicação e interrupção do serviço. A vulnerabilidade impacta versões da biblioteca Protobuf PHP entre 0.0.0 e 5.34.0-RC1. Uma correção foi lançada na versão 5.34.0-RC1.
Uma vulnerabilidade de Negação de Serviço (DoS) foi identificada na biblioteca Protobuf PHP (Pecl) (CVE-2026-6409) durante o processamento de entradas não confiáveis. Mensagens maliciosamente estruturadas – especificamente aquelas contendo varints negativos ou recursão profunda – podem ser usadas para derrubar a aplicação, impactando a disponibilidade do serviço. Um atacante pode explorar essa fraqueza para interromper o funcionamento normal de aplicações que dependem do Protobuf PHP, levando a interrupções e possível perda de dados. A gravidade desta vulnerabilidade reside na facilidade de criar mensagens maliciosas e no potencial de impacto generalizado em diversas aplicações.
A exploração desta vulnerabilidade requer que um atacante seja capaz de controlar a estrutura das mensagens Protobuf enviadas à aplicação. Isso pode ocorrer em cenários onde a aplicação recebe mensagens de fontes externas, como APIs ou serviços web. Criar mensagens com varints negativos ou recursão profunda requer um conhecimento básico do formato de mensagem Protobuf. O impacto da exploração pode variar dependendo da arquitetura da aplicação e da carga do sistema.
Applications utilizing Protobuf-php to process untrusted data are at risk. This includes services that receive Protocol Buffer messages from external sources, such as APIs or user uploads. Specifically, applications with legacy Protobuf-php configurations or those lacking robust input validation are particularly vulnerable.
• php / server:
find /var/www/html -name 'protobuf-php' -type d• php / server:
ps aux | grep 'Protobuf-php' | grep -v grep• generic web: Check application logs for errors related to Protocol Buffer parsing or unexpected crashes around the time of the vulnerability disclosure.
disclosure
Status do Exploit
EPSS
0.09% (percentil 25%)
CISA SSVC
Para mitigar o risco associado ao CVE-2026-6409, recomenda-se fortemente atualizar a biblioteca Protobuf PHP para a versão 5.34.0-RC1 ou 4.33.6. Essas versões incluem correções que abordam a vulnerabilidade de DoS. Como medida temporária, considere limitar a exposição da aplicação a entradas não confiáveis e realizar uma validação rigorosa dos dados de entrada antes de processá-los com o Protobuf PHP. Monitorar os logs da aplicação em busca de comportamentos incomuns também pode ajudar a detectar tentativas de exploração.
Actualice la biblioteca Protobuf-php a la versión 5.34.0-RC1 o superior para mitigar la vulnerabilidad de denegación de servicio. Asegúrese de probar la nueva versión en un entorno de desarrollo antes de implementarla en producción. Esta actualización aborda el problema al mejorar el manejo de mensajes protobuf maliciosos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Protobuf PHP é uma biblioteca para PHP que implementa os Protocol Buffers do Google, um mecanismo eficiente e multiplataforma de serialização de dados.
Se você estiver usando Protobuf PHP, verifique a versão instalada. Se for anterior a 5.34.0-RC1 ou 4.33.6, ela é vulnerável.
Como medida temporária, valide rigorosamente os dados de entrada e limite a exposição a fontes não confiáveis.
Não, um KEV não está atualmente disponível para CVE-2026-6409.
Consulte a documentação oficial do Protobuf PHP e fontes de segurança relevantes para obter atualizações e detalhes adicionais.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.