protobuf.js: Code injection through bytes field defaults in generated toObject code — CVE-2026-44293

Résumé

## Summary protobufjs generated JavaScript for `toObject` conversion could include an unsafe expression derived from a schema-controlled `bytes` field default value. A crafted descriptor with a non-string default value for a `bytes` field could cause attacker-controlled code to be emitted into the generated conversion function. ## Impact An attacker who can provide or influence a protobuf descriptor may be able to…

Produit

npm: protobufjs

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

• Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
• Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
• Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
• Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

• Lire la source officielle
• CVE Record
• NVD

Avis associés