CRITICALCVE-2026-41242CVSS 9.8

protobufjs 中任意代码执行漏洞

Q: 什么是 CVE-2026-41242 — 远程代码执行漏洞在 protobufjs 中？

CVE-2026-41242 描述了 protobufjs 8.0.0–8.0.1 版本中的远程代码执行漏洞，攻击者可以通过恶意 protobuf 定义或 JSON 描述符执行任意 JavaScript 代码。

Q: 我是否受到 CVE-2026-41242 在 protobufjs 中影响？

如果您正在使用 protobufjs 8.0.0 到 8.0.1 版本，则您可能受到此漏洞的影响。请立即升级至 7.5.5 或更高版本。

Q: 我如何修复 CVE-2026-41242 在 protobufjs 中？

最有效的修复方法是将 protobufjs 升级至 7.5.5 或更高版本。如果无法升级，请实施输入验证和清理机制。

Q: CVE-2026-41242 是否正在被积极利用？

目前尚未公开已知利用此漏洞的公开可用的 PoC，但由于漏洞的严重性，可能成为攻击者的目标。

Q: 在哪里可以找到官方 protobufjs 关于 CVE-2026-41242 的安全公告？

请访问 protobufjs 的 GitHub 仓库或官方网站，查找有关此漏洞的安全公告和修复信息。

平台

nodejs

组件

protobufjs

修复版本

7.5.6

8.0.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-41242 描述了 protobufjs 库中的远程代码执行 (RCE) 漏洞。该漏洞允许攻击者通过提供恶意 protobuf 定义或 JSON 描述符，在应用程序上下文中执行任意 JavaScript 代码。该漏洞影响 protobufjs 8.0.0 到 8.0.1 版本，建议立即升级至 7.5.5 版本以缓解风险。

影响与攻击场景

此漏洞的影响极其严重，攻击者能够完全控制受影响的应用程序。攻击者可以利用此漏洞执行恶意代码，窃取敏感数据，例如 API 密钥、数据库凭据和用户个人信息。此外，攻击者还可以利用此漏洞进行横向移动，攻击网络中的其他系统。由于该漏洞依赖于攻击者能够提供恶意 protobuf 定义或 JSON 描述符，因此可能需要攻击者控制应用程序的输入或配置。如果应用程序处理来自不受信任来源的 protobuf 数据，则风险会显著增加。

利用背景

目前尚未公开已知利用此漏洞的公开可用的 PoC。CISA尚未将其添加到 KEV 目录。根据 CVSS 评分，该漏洞被评定为高概率利用。由于该漏洞允许远程代码执行，因此可能成为攻击者的目标。建议密切关注安全社区的最新动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

Applications built on Node.js that utilize the protobufjs library, particularly those that load protobuf definitions or JSON descriptors from external or untrusted sources, are at significant risk. This includes microservices, API gateways, and any application that processes data serialized using Protocol Buffers.

检测步骤翻译中…

• nodejs / supply-chain:

Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object -ExpandProperty CommandLine | Select-String -Pattern 'require\("protobufjs"\)'

• nodejs / supply-chain:

Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Node.js']]]'

• generic web: Inspect Node.js application code for instances where protobufjs is used to load descriptors from external sources. • generic web: Review application logs for any errors or warnings related to protobufjs schema parsing or code generation.

攻击时间线

2026-04-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告2 份威胁报告

EPSS

0.06% (19% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响total

受影响的软件

组件protobufjs

影响范围修复版本

< 7.5.5 – < 7.5.57.5.6

>= 8.0.0-experimental, < 8.0.1 – >= 8.0.0-experimental, < 8.0.18.0.1

8.0.08.0.1

弱点分类 (CWE)

CWE-94

时间线

已保留2026-04-18
发布日期2026-04-16
修改日期2026-05-04
EPSS 更新日期2026-04-26

缓解措施和替代方案

最有效的缓解措施是立即将 protobufjs 升级至 7.5.5 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：严格验证所有 protobuf 定义和 JSON 描述符，确保它们来自可信来源。实施输入验证和清理机制，以防止恶意代码注入。使用 Web 应用程序防火墙 (WAF) 或代理服务器来检测和阻止恶意请求。监控应用程序日志，查找可疑活动，例如未经授权的代码执行。如果升级导致应用程序中断，请考虑回滚到之前的版本，并尽快修复漏洞。

修复方法

升级到 8.0.1 或更高版本，或 7.5.5 版本以缓解任意代码执行漏洞。此漏洞允许恶意代码注入到 protobuf 定义的 'type' 字段中，在对象解码期间执行。升级会修补此问题。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-41242 — 远程代码执行漏洞在 protobufjs 中？