Auf den Punkt: protobuf.js behandelt Schema-Metadaten unsicher und ermöglicht Angreifern durch manipulierte Daten die Ausführung von Code in Node.js-Prozessen.
Die weit verbreitete JavaScript-Implementierung von Googles Protocol Buffers weist sechs Sicherheitslücken auf, die Remote Code Execution und weitere Angriffe ermöglichen. Das von Cyera-Forschern offengelegte Problem betrifft ein Library mit über 50 Millionen wöchentlichen Downloads.
Cyera-Forscher haben sechs CVEs gegen die protobuf.js-Bibliothek offengelegt, die aus unzureichender Eingabevalidation bei der Schema- und Metadaten-Verarbeitung resultierten. Die Schwachstellen ermöglichen Remote Code Execution, Denial-of-Service, Prototype Pollution, Prototype Injection und Code-Generierungsfehler. Das Library wird über 50 Millionen Mal wöchentlich heruntergeladen und oft indirekt durch Abhängigkeiten wie gRPC-Tools, Google-Cloud-Bibliotheken und andere Frameworks integriert, wodurch es für Organisationen schwierig ist, die Präsenz zu verfolgen.
Die kritischste Lücke (CVE-2024-44291) betrifft die dynamische Code-Generierung: protobuf.js erstellt Encoder- und Decoder-Funktionen durch Verwendung von Javascripts Function()-Konstruktor. Ein Angreifer kann Schema-abgeleitete Informationen manipulieren, sodass datenstruktur-Metadaten zu ausführbarem Code werden. Die Cyera-Forscher Assaf Morag und Vladimir Tokarev demonstrierten eine Angriffskette, bei der Prototype Pollution protobuf.js dazu bringt, Angreifer-kontrollierte Werte als legitime Protobuf-Typen zu akzeptieren und diese dann im generierten Code auszuführen. Eine verwandte Code-Injection-Flaw (CVE-2024-44295) im pbjs-Kommandozeilen-Tool ermöglicht es, bösartige Schemanamen in generierte JavaScript-Dateien einzubinden, die später bei Import ausgeführt werden.
Erfolgreaiche Ausnutzung erfordert spezifische Voraussetzungen – etwa die Fähigkeit, Protobuf-Schemas oder Deskriptoren zu beeinflussen. In modernen Daten- und KI-Ökosystemen, die routinemäßig Schemas, Deskriptoren und Konfigurationsdateien über Services, Repositories, Cloud-Plattformen und Drittanbieter-Integrationen austauschen, sind diese Bedingungen zunehmend gegeben. Die übrigen CVEs (CVE-2024-44292, CVE-2024-44289, CVE-2024-44290, CVE-2024-44294) betreffen weniger kritische Prototype-Injection und DoS-Probleme.
Das Library wird häufig als transitive Abhängigkeit konsumiert, wodurch Organisationen exponiert sein können, ohne dass sie die Bibliothek im Stack kennen. Da Schemas durch automatisierte CI/CD-Pipelines fließen, können bösartige Schemas in Workflows eindringen und letztlich ausgeführt werden. Patches sind für protobuf.js und das CLI-Tool protobuf.js-cli verfügbar.
Quelle: www.csoonline.com · Erschienen 8. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.