製品・ソフトウェアに関する情報
脆弱性検索
protobufjs projectのprotobufjs-cliにおけるOS コマンドインジェクションの脆弱性
タイトル protobufjs projectのprotobufjs-cliにおけるOS コマンドインジェクションの脆弱性
概要

protobufjs-cli は protobuf.js のコマンドラインアドオンです。バージョン 1.2.1 および 2.0.2 より前では、pbts が入力ファイルパスからシェルコマンド文字列を構築し、それを child_process.exec を通じて実行することで JSDoc を呼び出していました。そのため、シェルのメタキャラクターを含むファイルパスがシェルによって解釈され、JSDoc にプレーンな引数として正しく渡されない可能性がありました。この脆弱性はバージョン 1.2.1 および 2.0.2 で修正されています。

想定される影響 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
対策

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年5月13日0:00
登録日 2026年5月21日10:55
最終更新日 2026年5月21日10:55
CVSS3.0 : 重要
スコア 7.8
ベクター CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
影響を受けるシステム
protobufjs project
protobufjs-cli 1.2.1 未満
protobufjs-cli 2.0.0 以上 2.0.2 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
1 [2026年05月21日]
  掲載		 2026年5月21日10:55
NVD脆弱性情報
CVE-2026-42290
概要

protobufjs-cli is the command line add-on for protobuf.js. Prior to 1.2.1 and 2.0.2, pbts invoked JSDoc by building a shell command string from input file paths and executing it through child_process.exec. File paths containing shell metacharacters could therefore be interpreted by the shell instead of being passed to JSDoc as plain arguments. This vulnerability is fixed in 1.2.1 and 2.0.2.

公表日 2026年5月14日1:16
登録日 2026年5月15日4:21
最終更新日 2026年5月20日5:56
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:protobufjs_project:protobufjs-cli:*:*:*:*:*:node.js:*:* 1.2.1
cpe:2.3:a:protobufjs_project:protobufjs-cli:*:*:*:*:*:node.js:*:* 2.0.0 2.0.2
関連情報、対策とツール
共通脆弱性一覧