平台
php
组件
protobuf/protobuf
修复版本
5.34.0-RC1
4.33.6
CVE-2026-6409 是 Protobuf PHP 库中的一个拒绝服务 (DoS) 漏洞,当解析不可信的输入时可能被触发。攻击者可以通过构造恶意结构的消息,例如包含负数 varint 或深度递归的消息,来导致应用程序崩溃,从而影响服务可用性。该漏洞影响 Protobuf-php 的 0.0.0 到 5.34.0-RC1 版本。目前已发布补丁,建议升级至 5.34.0-RC1 或 4.33.6。
Protobuf PHP 库 (Pecl) (CVE-2026-6409) 在解析不受信任输入时存在拒绝服务 (DoS) 漏洞。 恶意构造的消息,特别是包含负数 varint 值或深度递归的消息,可能导致应用程序崩溃,从而影响服务可用性。攻击者可以利用此漏洞中断依赖 Protobuf PHP 的应用程序的正常运行,导致停机和潜在的数据丢失。 此漏洞的严重性在于恶意消息的创建容易,并且可能对各种应用程序产生广泛的影响。
利用此漏洞需要攻击者能够控制发送到应用程序的 Protobuf 消息的结构。 这可能发生在应用程序从外部源(例如 API 或 Web 服务)接收消息的场景中。 创建包含负数 varint 值或深度递归的消息需要对 Protobuf 消息格式有基本的了解。 利用的影响可能因应用程序架构和系统负载而异。
Applications utilizing Protobuf-php to process untrusted data are at risk. This includes services that receive Protocol Buffer messages from external sources, such as APIs or user uploads. Specifically, applications with legacy Protobuf-php configurations or those lacking robust input validation are particularly vulnerable.
• php / server:
find /var/www/html -name 'protobuf-php' -type d• php / server:
ps aux | grep 'Protobuf-php' | grep -v grep• generic web: Check application logs for errors related to Protocol Buffer parsing or unexpected crashes around the time of the vulnerability disclosure.
disclosure
漏洞利用状态
EPSS
0.09% (25% 百分位)
CISA SSVC
为了减轻与 CVE-2026-6409 相关的风险,强烈建议将 Protobuf PHP 库更新到版本 5.34.0-RC1 或 4.33.6。 这些版本包含解决 DoS 漏洞的修复程序。 作为临时措施,请考虑限制应用程序对不受信任输入的暴露,并在使用 Protobuf PHP 处理数据之前执行严格的输入验证。 监控应用程序日志以查找异常行为也可以帮助检测潜在的利用尝试。
Actualice la biblioteca Protobuf-php a la versión 5.34.0-RC1 o superior para mitigar la vulnerabilidad de denegación de servicio. Asegúrese de probar la nueva versión en un entorno de desarrollo antes de implementarla en producción. Esta actualización aborda el problema al mejorar el manejo de mensajes protobuf maliciosos.
漏洞分析和关键警报直接发送到您的邮箱。
Protobuf PHP 是一个用于 PHP 的库,它实现了 Google 的 Protocol Buffers,这是一种高效且跨平台的序列化数据机制。
如果您正在使用 Protobuf PHP,请检查已安装的版本。 如果版本早于 5.34.0-RC1 或 4.33.6,则容易受到攻击。
作为临时措施,请严格验证输入数据并限制对不受信任来源的暴露。
不,CVE-2026-6409 目前没有 KEV。
请参阅官方 Protobuf PHP 文档和相关安全资源以获取更新和更多详细信息。