免费扫描
分析待定CVE-2026-45740

CVE-2026-45740: DoS in protobuf.js

平台

nodejs

组件

protobufjs

修复版本

7.5.8

在NVD查看
保存

CVE-2026-45740 描述了 protobuf.js 中的拒绝服务 (DoS) 漏洞。该漏洞源于在处理 JSON 描述符时缺乏深度限制,导致递归调用栈溢出。攻击者可以通过提供包含深度嵌套命名空间的恶意 JSON 描述符来触发此问题,从而导致服务中断。受影响的版本包括 7.0.0–>= 8.0.0 以及小于 8.2.0 的版本。该漏洞已在 7.5.8 和 8.2.0 版本中修复。

影响与攻击场景

攻击者可以利用此漏洞发起拒绝服务攻击,导致 protobuf.js 应用程序崩溃或无法响应。攻击者无需身份验证即可发送恶意 JSON 描述符,从而影响应用程序的可用性。由于 protobuf.js 被广泛应用于各种 JavaScript 项目中,因此该漏洞的潜在影响范围非常广泛,可能导致服务中断和数据丢失。虽然该漏洞的 CVSS 评分较低,但其易于利用和潜在影响不容忽视。

利用背景

目前,该漏洞的公开利用代码 (POC) 尚未广泛传播,但由于其易于利用,存在被恶意利用的风险。该漏洞已发布到 NVD 和 CISA 数据库,表明其潜在威胁。目前没有关于该漏洞被积极利用的公开报告,但建议尽快采取缓解措施。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

CISA SSVC

利用情况none
可自动化yes
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityNone敏感数据泄露风险IntegrityNone数据未授权篡改风险AvailabilityLow服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
无 — 无机密性影响。
Integrity
无 — 无完整性影响。
Availability
低 — 部分或间歇性拒绝服务。

受影响的软件

组件protobufjs
供应商protobufjs
最低版本7.0.0
最高版本>= 8.0.0, < 8.2.0
修复版本7.5.8

弱点分类 (CWE)

CWE-674

时间线

  1. 已保留
  2. 发布日期

缓解措施和替代方案

缓解此漏洞的首要措施是升级到受影响版本之后的修复版本:7.5.8 或 8.2.0。如果无法立即升级,可以考虑使用 Web 应用程序防火墙 (WAF) 或代理服务器来过滤掉包含深度嵌套命名空间的 JSON 描述符。此外,可以限制 protobuf.js 处理 JSON 描述符的深度,以防止调用栈溢出。在升级后,请验证应用程序是否正常运行,并确认漏洞已成功修复。

修复方法翻译中…

Actualice a la versión 7.5.8 o superior, o a la versión 8.2.0 o superior para mitigar la vulnerabilidad de denegación de servicio.  La actualización corrige la falta de un límite de profundidad en la expansión de descriptores JSON anidados, previniendo el agotamiento de la pila de llamadas.

常见问题

什么是 CVE-2026-45740 — DoS 漏洞在 protobuf.js 中?

CVE-2026-45740 是 protobuf.js 中的拒绝服务漏洞,攻击者可以通过恶意 JSON 描述符耗尽 JavaScript 调用栈,导致服务中断。

我是否受到 CVE-2026-45740 在 protobuf.js 中的影响?

如果您的 protobuf.js 版本在 7.0.0–>= 8.0.0 之间或小于 8.2.0,则可能受到影响。请立即升级到 7.5.8 或 8.2.0。

如何修复 CVE-2026-45740 在 protobuf.js 中的漏洞?

升级到 protobuf.js 7.5.8 或 8.2.0 版本。如果无法升级,请考虑使用 WAF 或限制 JSON 描述符处理深度。

CVE-2026-45740 是否正在被积极利用?

目前没有关于该漏洞被积极利用的公开报告,但由于其易于利用,存在被恶意利用的风险。

在哪里可以找到官方 protobuf.js 关于 CVE-2026-45740 的公告?

请访问 protobuf.js 的官方 GitHub 仓库或相关安全公告页面以获取更多信息:https://github.com/protocolbuffers/protobufjs

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...