Kritična ranljivost v protobuf.js omogoča izvajanje JavaScript kode

V JavaScript implementaciji Googlovega Protocol Buffers, znani kot protobuf.js, so raziskovalci odkrili kritično varnostno ranljivost, ki napadalcem omogoča izvajanje poljubne kode. Za ranljivost CVE-2025-32428 je že objavljen proof-of-concept izkoriščevalski kod, kar močno povečuje tveganje za aktivno izkoriščanje.

Protobuf.js je ena izmed najpomembnejših JavaScript knjižnic za serizalizacijo strukturiranih podatkov in se uporablja v številnih spletnih aplikacijah ter Node.js projektih. Knjižnica omogoča učinkovito kodiranje in dekodiranje podatkov v binarnem formatu, kar je ključno za komunikacijo med različnimi sistemi.

Ranljivost izhaja iz nepravilne validacije uporabniških vnosov pri razčlenjevanju protobuf sporočil. Napadalec lahko s pripravljenim zlonamernim sporočilom sproži izvajanje JavaScript kode v kontekstu aplikacije. To predstavlja resno grožnjo predvsem za spletne aplikacije, ki obdelujejo protobuf sporočila iz nezaupljivih virov.

Varnostni raziskovalci opozarjajo, da je izkoriščanje ranljivosti relativno preprosto, kar povečuje verjetnost množičnih napadov. Glede na široko razširjenost knjižnice – protobuf.js ima na NPM registru več kot 40 milijonov tedenskih prenosov – je potencialno prizadetih izjemno veliko projektov.

Vzdrževalci knjižnice so že izdali popravek v verziji 7.2.6, ki odpravlja omenjeno ranljivost. Vse organizacije in razvijalce, ki uporabljajo protobuf.js, pozivajo k takojšnji posodobitvi na najnovejšo različico. Kot začasno rešitev do posodobitve priporočajo strogo validacijo vseh vhodnih podatkov ter izvajanje kode v izoliranem okolju.

Incident znova poudarja pomen rednega pregledovanja in posodabljanja odvisnosti v sodobnih JavaScript projektih. Uporaba orodij za avtomatizirano odkrivanje ranljivih paketov, kot so npm audit ali Snyk, lahko bistveno zmanjša izpostavljenost tovrstnim tveganjem.


Vir: https://www.bleepingcomputer.com/news/security/critical-flaw-in-protobuf-library-enables-javascript-code-execution/
Originalna objava: 2026-04-18
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.

Deli z drugimi:

Leave a Reply