Código de exploração para falha crítica no protobuf.js é divulgado

Um código de exploração de prova de conceito foi publicado para uma falha crítica de execução remota de código (RCE) no protobuf.js, uma implementação JavaScript amplamente utilizada dos Protocol Buffers do Google. Essa biblioteca, que é popular no registro do Node Package Manager (npm) com cerca de 50 milhões de downloads semanais, é utilizada para comunicação entre serviços e armazenamento eficiente de dados estruturados. A vulnerabilidade, identificada como GHSA-xq3m-2v4x-88gg, resulta de uma geração de código dinâmico insegura, onde a biblioteca constrói funções JavaScript a partir de esquemas protobuf sem validar adequadamente os identificadores derivados do esquema. Isso permite que um atacante forneça um esquema malicioso que injete código arbitrário na função gerada, possibilitando a execução desse código quando a aplicação processa uma mensagem usando o esquema comprometido. A falha afeta as versões 8.0.0/7.5.4 e anteriores do protobuf.js, e a Endor Labs recomenda a atualização para as versões 8.0.1 e 7.5.5, que corrigem o problema. Embora a exploração seja considerada simples, até o momento não foram observadas explorações ativas na natureza.

Fonte: https://www.bleepingcomputer.com/news/security/critical-flaw-in-protobuf-library-enables-javascript-code-execution/

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).