CVE-2026-44293— protobuf.js 代码注入漏洞
Possible ATT&CK Techniques 1AI
T1059 · Command and Scripting InterpreterAffected Version Matrix 2
| ベンダー | プロダクト | Version Range | ステータス |
|---|---|---|---|
| protobufjs | protobuf.js | < 7.5.6 | affected |
>= 8.0.0, < 8.0.2 | affected |
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-44293の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
protobufjs: Code injection through bytes field defaults in generated toObject code
ソース: NVD (National Vulnerability Database)
脆弱性説明
protobufjs compiles protobuf definitions into JavaScript (JS) functions. Prior to 7.5.6 and 8.0.2, protobufjs generated JavaScript for toObject conversion could include an unsafe expression derived from a schema-controlled bytes field default value. A crafted descriptor with a non-string default value for a bytes field could cause attacker-controlled code to be emitted into the generated conversion function. This vulnerability is fixed in 7.5.6 and 8.0.2.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
对生成代码的控制不恰当(代码注入)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
protobuf.js 代码注入漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
protobuf.js是The protobuf.js Project开源的一个纯 JavaScript 实现,具有对node.js和浏览器的TypeScript支持的协议缓冲区实现。它易于使用,速度极快,并且通过.proto文件可以开箱即用! protobuf.js 7.5.6之前版本和8.0.2之前版本存在代码注入漏洞,该漏洞源于toObject转换生成的JavaScript包含来自模式控制字节字段默认值的不安全表达式,可能导致攻击者控制的代码被注入生成的转换函数。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| protobufjs | protobuf.js | < 7.5.6 | - |
II. CVE-2026-44293の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-44293のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · protobufjs · 2026-05-13 · 10 CVEs total
| CVE-2026-44295 | 8.7 HIGH | protobufjs-cli: Code injection in pbjs static output from crafted schema names |
| CVE-2026-44291 | 8.1 HIGH | protobufjs: Code generation gadget after prototype pollution |
| CVE-2026-42290 | 7.8 HIGH | protobufjs-cli: OS Command Injection |
| CVE-2026-44289 | 7.5 HIGH | protobufjs: Denial of service through unbounded protobuf recursion |
| CVE-2026-44290 | 7.5 HIGH | protobufjs: Process-wide denial of service through unsafe option paths |
| CVE-2026-45740 | 5.3 MEDIUM | protobufjs: Denial of Service via unbounded recursive JSON descriptor expansion |
| CVE-2026-44288 | 5.3 MEDIUM | protobufjs: Overlong UTF-8 decoding |
| CVE-2026-44294 | 5.3 MEDIUM | protobufjs: Denial of service from crafted field names in generated code |
| CVE-2026-44292 | 5.3 MEDIUM | protobufjs: Prototype injection in generated message constructors |
IV. 関連脆弱性
同じ製品: protobuf.js
- CVE-2026-44295
protobufjs-cli: Code injection in pbjs static output from cr - CVE-2026-42290
protobufjs-cli: OS Command Injection - CVE-2026-45740
protobufjs: Denial of Service via unbounded recursive JSON d - CVE-2026-44294
protobufjs: Denial of service from crafted field names in ge - CVE-2026-44292
protobufjs: Prototype injection in generated message constru
同じベンダー: protobufjs
- CVE-2026-44295
protobufjs-cli: Code injection in pbjs static output from cr - CVE-2026-42290
protobufjs-cli: OS Command Injection - CVE-2026-45740
protobufjs: Denial of Service via unbounded recursive JSON d - CVE-2026-44294
protobufjs: Denial of service from crafted field names in ge - CVE-2026-44292
protobufjs: Prototype injection in generated message constru
同じ弱点: CWE-94
- CVE-2018-25320
ACL Analytics 11.x - 13.0.0.579 Arbitrary Code Execution - CVE-2021-47952
python jsonpickle 2.0.0 Remote Code Execution via py/repr - CVE-2021-47964
Schlix CMS 2.2.6-6 Remote Code Execution via core.blockmanag - CVE-2026-44717
MCP Calculate Server: Prompt Injection to RCE - CVE-2026-41258
OpenMRS: Stored Velocity SSTI to RCE via ConceptReferenceRan
V. CVE-2026-44293へのコメント
まだコメントはありません