製品・ソフトウェアに関する情報
Vulnerability Search
protobufjs projectのprotobufjs-cliにおけるコードインジェクションの脆弱性
Title protobufjs projectのprotobufjs-cliにおけるコードインジェクションの脆弱性
Summary

protobufjs-cliはprotobuf.jsのコマンドラインアドオンです。バージョン1.2.1および2.0.2以前では、pbjsの静的コード生成がスキーマの名前に由来する安全でないJavaScript識別子を生成する可能性がありました。巧妙に作成されたスキーマやJSONディスクリプタから静的JavaScriptを生成する際に、特定の名前空間、列挙体、サービス、または派生した完全修飾名が十分にサニタイズされず、生成された出力に書き込まれる場合がありました。この脆弱性はバージョン1.2.1および2.0.2で修正されています。

Possible impacts 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date May 13, 2026, midnight
Registration Date May 21, 2026, 10:55 a.m.
Last Update May 21, 2026, 10:55 a.m.
CVSS3.0 : 重要
Score 8.7
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Affected System
protobufjs project
protobufjs-cli 1.2.1 未満
protobufjs-cli 2.0.0 以上 2.0.2 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年05月21日]
  掲載		 May 21, 2026, 10:55 a.m.
NVD Vulnerability Information
CVE-2026-44295
Summary

protobufjs-cli is the command line add-on for protobuf.js. Prior to 1.2.1 and 2.0.2, pbjs static code generation could emit unsafe JavaScript identifiers derived from schema-controlled names. When generating static JavaScript from a crafted schema or JSON descriptor, certain namespace, enum, service, or derived full names could be written into the generated output without sufficient sanitization. This vulnerability is fixed in 1.2.1 and 2.0.2.

Publication Date May 14, 2026, 1:16 a.m.
Registration Date May 15, 2026, 4:21 a.m.
Last Update May 20, 2026, 5:37 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:protobufjs_project:protobufjs-cli:*:*:*:*:*:node.js:*:* 1.2.1
cpe:2.3:a:protobufjs_project:protobufjs-cli:*:*:*:*:*:node.js:*:* 2.0.0 2.0.2
Related information, measures and tools
Common Vulnerabilities List