| タイトル | protobufjs projectのprotobufjs-cliにおけるコードインジェクションの脆弱性 |
|---|---|
| 概要 | protobufjs-cliはprotobuf.jsのコマンドラインアドオンです。バージョン1.2.1および2.0.2以前では、pbjsの静的コード生成がスキーマの名前に由来する安全でないJavaScript識別子を生成する可能性がありました。巧妙に作成されたスキーマやJSONディスクリプタから静的JavaScriptを生成する際に、特定の名前空間、列挙体、サービス、または派生した完全修飾名が十分にサニタイズされず、生成された出力に書き込まれる場合がありました。この脆弱性はバージョン1.2.1および2.0.2で修正されています。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月13日0:00 |
| 登録日 | 2026年5月21日10:55 |
| 最終更新日 | 2026年5月21日10:55 |
| CVSS3.0 : 重要 | |
| スコア | 8.7 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| protobufjs project |
| protobufjs-cli 1.2.1 未満 |
| protobufjs-cli 2.0.0 以上 2.0.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月21日] 掲載 |
2026年5月21日10:55 |
| 概要 | protobufjs-cli is the command line add-on for protobuf.js. Prior to 1.2.1 and 2.0.2, pbjs static code generation could emit unsafe JavaScript identifiers derived from schema-controlled names. When generating static JavaScript from a crafted schema or JSON descriptor, certain namespace, enum, service, or derived full names could be written into the generated output without sufficient sanitization. This vulnerability is fixed in 1.2.1 and 2.0.2. |
|---|---|
| 公表日 | 2026年5月14日1:16 |
| 登録日 | 2026年5月15日4:21 |
| 最終更新日 | 2026年5月20日5:37 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:protobufjs_project:protobufjs-cli:*:*:*:*:*:node.js:*:* | 1.2.1 | ||||
| cpe:2.3:a:protobufjs_project:protobufjs-cli:*:*:*:*:*:node.js:*:* | 2.0.0 | 2.0.2 | |||