| Summary | protobufjs compiles protobuf definitions into JavaScript (JS) functions. Prior to 8.6.0 and 7.6.3, protobufjs accepted certain schema-derived names that could collide with properties used by protobufjs runtime helpers. The known affected names are fields named hasOwnProperty, field or oneof names such as $type when loaded through protobufjs JSON/reflection descriptors, and service methods whose generated helper name is rpcCall. When affected message or service types were used, protobufjs could read schema-controlled data where it expected an own-property helper, reflected type metadata, or the base RPC helper. This could cause deterministic exceptions or recursive calls in affected decode post-checks, verification, object conversion, reflected JSON serialization, or protobufjs RPC helper invocation. This vulnerability is fixed in 8.6.0 and 7.6.3. |
|---|---|
| Publication Date | June 23, 2026, 3:16 a.m. |
| Registration Date | June 27, 2026, 4:11 a.m. |
| Last Update | June 25, 2026, 5:40 a.m. |
| CVSS3.1 : MEDIUM | |
| スコア | 5.3 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | 低 |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:protobufjs_project:protobufjs:*:*:*:*:*:node.js:*:* | 7.6.3 | ||||
| cpe:2.3:a:protobufjs_project:protobufjs:*:*:*:*:*:node.js:*:* | 8.0.0 | 8.6.0 | |||
| cpe:2.3:a:protobufjs_project:protobufjs-cli:*:*:*:*:*:node.js:*:* | 1.3.3 | ||||
| cpe:2.3:a:protobufjs_project:protobufjs-cli:*:*:*:*:*:node.js:*:* | 2.0.0 | 2.5.1 | |||
| Title | protobufjs projectのprotobufjs-cli等の複数製品における複数の脆弱性 |
|---|---|
| Summary | protobufjsはprotobuf定義をJavaScript(JS)関数にコンパイルします。バージョン8.6.0および7.6.3以前では、protobufjsはprotobufjsのランタイムヘルパーで使用されるプロパティと衝突する可能性のある特定のスキーマ由来の名前を受け入れていました。影響を受ける既知の名前には、hasOwnPropertyという名前のフィールド、protobufjsのJSON/リフレクションディスクリプター経由で読み込まれた場合の$typeのようなフィールドやoneofの名前、そして生成されたヘルパー名がrpcCallであるサービスメソッドが含まれます。影響を受けるメッセージまたはサービスタイプが使用されると、protobufjsは所有プロパティヘルパー、反映された型メタデータ、または基本RPCヘルパーを期待する場所でスキーマ制御されたデータを読み取ることがありました。これにより、影響を受けるデコード後のチェック、検証、オブジェクト変換、反映JSONシリアル化、またはprotobufjs RPCヘルパー呼び出しで決定的な例外や再帰呼び出しが発生する可能性がありました。この脆弱性はバージョン8.6.0および7.6.3で修正されています。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアの一部が停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 22, 2026, midnight |
| Registration Date | June 26, 2026, 11:55 a.m. |
| Last Update | June 26, 2026, 11:55 a.m. |
| protobufjs project |
| protobufjs 7.6.3 未満 |
| protobufjs 8.0.0 以上 8.6.0 未満 |
| protobufjs-cli 1.3.3 未満 |
| protobufjs-cli 2.0.0 以上 2.5.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月26日] 掲載 |
June 26, 2026, 11:55 a.m. |