Vulnerabilities ›

CVE-2026-44295

High

CWE-94 — Weakness Type

                    Published: May 13, 2026                      ·  Modified: May 20, 2026                      ·  Source: NVD                

CVSS v3

8.7

🔗 NVD Official

📄 Description (English)

protobufjs-cli is the command line add-on for protobuf.js. Prior to 1.2.1 and 2.0.2, pbjs static code generation could emit unsafe JavaScript identifiers derived from schema-controlled names. When generating static JavaScript from a crafted schema or JSON descriptor, certain namespace, enum, service, or derived full names could be written into the generated output without sufficient sanitization. This vulnerability is fixed in 1.2.1 and 2.0.2.

🤖 AI Executive Summary

protobufjs-cli versions before 1.2.1 and 2.0.2 fail to sanitize JavaScript identifiers in generated code, allowing unsafe identifiers from crafted schemas to be emitted. This code generation vulnerability could enable injection attacks when processing untrusted protocol buffer schemas.

📄 Description (Arabic)

تحتوي ثغرة CVE-2026-44295 على فشل في تنظيف معرفات JavaScript المشتقة من أسماء مُتحكم بها من قبل الأنماط في أداة سطر الأوامر protobufjs-cli. قد يسمح هذا الفشل بإدراج كود ضار أو معرفات غير آمنة في الملفات المُنتجة عند معالجة أنماط بروتوكول buffer مصممة بحرفية.

🤖 ملخص تنفيذي (AI)

إصدارات protobufjs-cli السابقة للإصدار 1.2.1 و 2.0.2 تفشل في تنظيف معرفات JavaScript في الكود المُنتج، مما يسمح بإدراج معرفات غير آمنة من الأنماط المصممة بحرفية. قد تمكّن هذه الثغرة في توليد الكود من هجمات الحقن عند معالجة أنماط buffer البروتوكول غير الموثوقة.

🤖 AI Intelligence Analysis Analyzed: May 20, 2026 00:19

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

telecom government banking energy

🎯 MITRE ATT&CK Techniques

T1059.007 T1190 T1195.002

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update protobufjs-cli to version 1.2.1 or 2.0.2 or later immediately. Review and regenerate any static JavaScript code previously generated from untrusted schema sources. Implement input validation for protocol buffer schema files before processing.

🔧 خطوات المعالجة (العربية)

قم بتحديث protobufjs-cli إلى الإصدار 1.2.1 أو 2.0.2 أو أحدث فوراً. راجع وأعد توليد أي كود JavaScript ثابت تم توليده مسبقاً من مصادر أنماط غير موثوقة. طبّق التحقق من صحة المدخلات لملفات أنماط protocol buffer قبل معالجتها.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-2.1 ECC-3.2

🔵 SAMA CSF

ID.SC-4 PR.DS-6

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 1

🔗

https://github.com/protobufjs/protobuf.js/security/advisories/GHSA-6r35-46g8-jcw9

security-advisories@github.com

Vendor Advisory

📦 Affected Products / CPE 2 entries

protobufjs_project:protobufjs-cli

📊 CVSS Score

8.7

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score8.7

CWECWE-94

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-13

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-94

🏢 Vendor Advisories

🔗 https://github.com/protobufjs/protobuf.js/security/a...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44295

Introduce Yourself

Sign In Required