الثغرات ›

CVE-2026-44293

مرتفع

CWE-94 — نوع الضعف

                    نُشر: May 13, 2026                      ·  آخر تحديث: May 20, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

protobufjs compiles protobuf definitions into JavaScript (JS) functions. Prior to 7.5.6 and 8.0.2, protobufjs generated JavaScript for toObject conversion could include an unsafe expression derived from a schema-controlled bytes field default value. A crafted descriptor with a non-string default value for a bytes field could cause attacker-controlled code to be emitted into the generated conversion function. This vulnerability is fixed in 7.5.6 and 8.0.2.

🤖 ملخص AI

protobufjs versions before 7.5.6 and 8.0.2 generate unsafe JavaScript code from crafted protobuf descriptors, allowing attackers to inject arbitrary code through malicious bytes field default values. Organizations using affected versions risk remote code execution when processing untrusted protobuf schemas.

📄 الوصف (العربية)

يؤثر هذا الثغر على مكتبة protobufjs التي تُستخدم لترجمة تعريفات protobuf إلى دوال JavaScript. يمكن للمهاجمين استغلال معالجة القيم الافتراضية غير الآمنة لحقول البايتات لحقن وتنفيذ كود تعسفي في بيئة التطبيق.

🤖 ملخص تنفيذي (AI)

إصدارات protobufjs السابقة للإصدار 7.5.6 و 8.0.2 تولد كود JavaScript غير آمن من واصفات protobuf المصنوعة، مما يسمح للمهاجمين بحقن كود تعسفي من خلال قيم افتراضية ضارة لحقول البايتات. تواجه المنظمات التي تستخدم الإصدارات المتأثرة خطر تنفيذ كود بعيد عند معالجة مخططات protobuf غير موثوقة.

🤖 التحليل الذكي آخر تحليل: May 19, 2026 20:52

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government telecom

🎯 تقنيات MITRE ATT&CK

T1190 T1059 T1203

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade protobufjs to version 7.5.6 or 8.0.2 or later immediately. Validate and sanitize all protobuf schema sources before compilation. Implement strict input validation for protobuf descriptors from untrusted sources. Review generated JavaScript code for suspicious patterns before deployment.

🔧 خطوات المعالجة (العربية)

قم بترقية protobufjs إلى الإصدار 7.5.6 أو 8.0.2 أو أحدث على الفور. تحقق من صحة وتنظيف جميع مصادر مخطط protobuf قبل الترجمة. تطبيق التحقق الصارم من المدخلات لواصفات protobuf من مصادر غير موثوقة. مراجعة الكود JavaScript المُنشأ بحثاً عن أنماط مريبة قبل النشر.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2 6.1

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.12.6.1

🔗 المراجع والمصادر 1

🔗

https://github.com/protobufjs/protobuf.js/security/advisories/GHSA-66ff-xgx4-vchm

security-advisories@github.com

Vendor Advisory Mitigation

📦 المنتجات المتأثرة 2 منتج

protobufjs_project:protobufjs

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-94

EPSS0.06%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-13

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-94

🏢 توجيهات البائع

🔗 https://github.com/protobufjs/protobuf.js/security/a...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44293

عرّفنا بنفسك

تسجيل الدخول مطلوب