Az egyik legnépszerűbb JavaScript-könyvtár kritikus hibája veszélybe sodorja a szervereket

A Google Protocol Buffers JavaScript-implementációja, a protobuf.js komoly biztonsági rést tartalmaz, amelyen keresztül támadók távoli kódvégrehajtást érhetnek el. A könyvtár a Node Package Manager (npm) ökoszisztémájában rendkívül elterjedt, és valós idejű alkalmazásokban vagy adatbázis-kezelés során gyakran használják. A hibát az okozza, hogy a könyvtár dinamikusan generál JavaScript-függvényeket a beérkező sémák alapján, ugyanakkor hiányzik a sémákból származó azonosítók, például az üzenetnevek megfelelő ellenőrzése.

Könnyen kihasználható sebezhetőség

Ennek következtében egy rosszindulatú támadó manipulált sémát küldhet, így tetszőleges kódot juttathat a rendszerbe, amely aztán a szerver vagy a helyi alkalmazás feldolgozása során automatikusan lefut. Ez nemcsak a szerverekhez biztosíthat hozzáférést, hanem veszélybe sodorhatja a környezeti változókat, adatbázisokat és hitelesítési adatokat is, és a támadó akár a teljes infrastruktúrában továbbterjedhet. A helyzet a vártnál súlyosabb, mivel a támadás nemcsak szervereken, hanem fejlesztői gépeken is végrehajtható, ha azok ismeretlen sémákat dolgoznak fel.

Azonnali frissítést javasolnak

A hiba a protobuf.js 8.0.0 és 7.5.4 verziókat, illetve az ezeknél korábbi kiadásokat érinti. Javasolt azonnal frissíteni legalább 8.0.1 vagy 7.5.5 verzióra, amelyekben már megtalálható a biztonsági javítás. Ez a frissítés eltávolít minden nem alfanumerikus karaktert a típusnevekből, így megakadályozva a támadók manipulációját. Ez rámutat, hogy a szoftverfrissítés mellett a függőségek auditálása, a sémák előzetes fordítása, valamint az ismeretlen sémák kellő óvatossággal való kezelése is kiemelten fontos.

2026, adrienne, www.bleepingcomputer.com alapján