В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярной библиотеке protobufjs, которая используется для работы с протоколом Protocol Buffers (Protobuf). Этот протокол широко применяется для сериализации структурированных данных в тысячах приложений, включая микросервисы, инструменты командной строки и внутренние системы компаний. Уязвимость, получившая идентификаторы BDU:2026-05548 и CVE-2026-41242, оценивается как критическая по шкалам CVSS 3.1 и 4.0.
Детали уязвимости
Суть проблемы заключается в ошибке управления генерацией кода (CWE-94). Проще говоря, в библиотеке присутствует дефект, позволяющий злоумышленнику внедрить и выполнить произвольный код. Уязвимость затрагивает все версии protobufjs до 7.5.5 и до 8.0.1. По данным BDU, для эксплуатации уязвимости злоумышленнику достаточно иметь низкие привилегии (PR:L) и осуществлять атаку через сеть (AV:N) без взаимодействия с пользователем (UI:N). Следовательно, атака может быть проведена удаленно.
Особую тревогу вызывает факт наличия публичного эксплойта. Это означает, что подробное описание или код для использования уязвимости уже доступен в открытых источниках. Соответственно, злоумышленники, включая группы, занимающиеся распространением вредоносного ПО (ransomware), могут быстро интегрировать эту уязвимость в свой арсенал. Потенциальная полезная нагрузка (payload) атаки варьируется от кражи данных до полного захвата контроля над уязвимой системой.
Оценка по методологии CVSS 4.0, которая считается наиболее современной, составляет 9.4 балла. Этот высокий балл подчеркивает серьезность угрозы. Эксперты отмечают, что уязвимость позволяет атаковать не только целевой сервис, но и распространять воздействие на другие связанные системы (S:C). Таким образом, один успешный взлом может привести к компрометации всей внутренней сети организации.
Разработчики библиотеки protobufjs уже выпустили исправления. Уязвимость устранена в версиях 7.5.5 и 8.0.1. Сообществу рекомендуется немедленно обновить все зависимости в своих проектах. Однако в рекомендациях BDU содержится важное предостережение. В связи с текущей геополитической обстановкой и санкциями, организациям следует с повышенным вниманием подходить к установке обновлений из внешних источников. Необходимо предварительно оценивать все сопутствующие риски, включая потенциальные угрозы в цепочке поставок программного обеспечения.
Системным администраторам и DevOps-инженерам следует провести инвентаризацию всех сервисов и приложений, использующих protobufjs. Особое внимание нужно уделить внутренним инструментам и системам, информация о которых может отсутствовать в публичных репозиториях. После обновления библиотеки крайне желательно провести тестирование функциональности приложений.
Данный инцидент в очередной раз демонстрирует важность своевременного управления зависимостями в современной разработке. Библиотеки, такие как protobufjs, являются фундаментом для множества программ. Следовательно, уязвимость в одном таком компоненте создает эффект домино, угрожая безопасности огромного числа совершенно разных систем. Командам безопасности (SOC) рекомендуется добавить соответствующие сигнатуры в свои системы обнаружения вторжений (IDS) для мониторинга попыток эксплуатации.
Подводя итог, уязвимость в protobufjs представляет собой серьезную угрозу. Ее критический уровень, наличие публичного эксплойта и широкое распространение библиотеки делают ее приоритетной для исправления. В то же время, процесс обновления должен быть взвешенным. Организациям необходимо найти баланс между скоростью закрытия уязвимости и безопасностью источников получения исправлений, чтобы не стать жертвой дополнительных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-05548
- https://www.cve.org/CVERecord?id=CVE-2026-41242
- https://github.com/protobufjs/protobuf.js/releases/tag/protobufjs-v7.5.5
- https://github.com/protobufjs/protobuf.js/releases/tag/protobufjs-v8.0.1
- https://github.com/protobufjs/protobuf.js/security/advisories/GHSA-xq3m-2v4x-88gg
