Šta se desilo?

Otkrivena je kritična ranjivost u biblioteci protobufjs koja omogućava napadačima da ubace i izvrše proizvoljni kod kroz polja "type" u protobuf definicijama. Ranjivost je prisutna u verzijama pre 8.0.1 i 7.5.5, a ispravke su dostupne u novijim izdanjima.

Koga pogađa?

Programeri i kompanije koje koriste protobufjs biblioteku u verzijama starijim od 8.0.1 (za seriju 8.x) i 7.5.5 (za seriju 7.x) su izloženi riziku. Posebno su ugrožene aplikacije koje obrađuju protobuf definicije iz nepouzdanih izvora ili koja dozvoljavaju dinamičko učitavanje definicija.

Kako se zaštititi?

  • Odmah ažurirajte protobufjs na verziju 8.0.1 ili 7.5.5 ili novije
  • Auditurajte svoj kod kako biste identifikovali gde se koristi ova biblioteka
  • Izbegavajte učitavanje protobuf definicija iz nepouzdanih ili neverifikovanih izvora
  • Primenjujte princip najmanje privilegije pri obradi eksternih podataka
  • Pratite sigurnosne obaveze od strane protobufjs projekta

Tehnički detalji

CVE-2026-41242 je klasifikovana sa težinom 9.4 (kritična prema CVSS skali). Ranjivost dozvoljava injektovanje arbitrarnog koda kroz polja tipova u protobuf definicijama, što se kasnije izvršava tokom dekodiranja objekata. Ovo predstavlja mogućnost za Remote Code Execution (RCE) u aplikacijama koje procesiraju napadačem kontrolisane definicije.

Preporuka Sajber Radara

Prioritetno ažurirajte protobufjs biblioteku ako je koristite u vašim projektima. Svim razvojnim timovima preporučujemo da provere verzije u upotrebi i da primene popravke bez odlaganja, s obzirom na kritičnu prirodu ove ranjivosti.