目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-54271— protobufjs project protobufjs-cli 代码注入漏洞

CVSS 8.2 · High EPSS 0.23% · P14

Affected Version Matrix 2

ベンダープロダクトVersion Rangeステータス
protobufjsprotobufjs-cli< 1.3.2affected
>= 2.0.0, < 2.4.2affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-54271の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
protobufjs-cli: Code injection in pbjs static output from crafted JSON descriptor names
ソース: NVD (National Vulnerability Database)
脆弱性説明
protobufjs-cli is the command line add-on for protobuf.js. Prior to 1.3.2 and 2.5.0, a previous fix for unsafe name handling in pbjs static / static-module code generation was incomplete. Affected versions of protobufjs-cli could still emit unsafe JavaScript references when generating static output from crafted JSON descriptor input. The common case of parsing schemas from .proto files is not affected. This is a bypass of CVE-2026-44295. An attacker who can provide or influence pre-parsed JSON descriptors passed to pbjs static code generation may be able to cause generated JavaScript output to contain attacker-controlled code. The injected code may execute if the generated file is later executed or imported and an affected generated API path is invoked. This vulnerability is fixed in 1.3.2 and 2.5.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
对生成代码的控制不恰当(代码注入)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
protobufjs project protobufjs-cli 代码注入漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
protobufjs project protobufjs-cli是protobufjs project的命令行工具。 protobufjs project protobufjs-cli 1.3.2之前版本和2.0.0至2.4.2版本存在代码注入漏洞,该漏洞源于pbjs静态代码生成中不安全的名称处理修复不完整,可能导致攻击者通过特制JSON描述符输入生成包含攻击者控制代码的JavaScript输出。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
protobufjsprotobufjs-cli < 1.3.2 -

II. CVE-2026-54271の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム
Qwen3.6-35B-A3B · 4878 文字数
Pro+限定の内容:
脆弱性再現の録画(実際のサンドボックス構築 + トリガー、限定)
脆弱性の原理を深く分析
トリガー条件と影響範囲
完全な実行可能POCコード
攻撃チェーンと緩和策の提案
POCパッケージのダウンロード
月間100件以上のAI生成枠

III. CVE-2026-54271のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-54271 厂商安全公告 (1)

Same Patch Batch · protobufjs · 2026-06-22 · 4 CVEs total

CVE-2026-487127.5 HIGHprotobufjs: Denial of service through unbounded Any expansion during JSON conversion
CVE-2026-542695.3 MEDIUMprotobufjs: Schema-derived names can shadow runtime-significant properties
CVE-2026-542705.3 MEDIUMprotobufjs: Memory amplification from preserved unknown fields in binary decode

IV. 関連脆弱性

V. CVE-2026-54271へのコメント

まだコメントはありません


コメントを残す