Una vulnerabilidad crítica de ejecución remota de código (RCE) ha sido descubierta en protobuf.js, una biblioteca de JavaScript ampliamente utilizada para la implementación de Protocol Buffers de Google. La falla, identificada como GHSA-xq3m-2v4x-88gg, permite a los atacantes inyectar y ejecutar código arbitrario a través de la manipulación de esquemas protobuf. La biblioteca, con un promedio de casi 50 millones de descargas semanales en el registro de npm, es esencial para la comunicación entre servicios, aplicaciones en tiempo real y el almacenamiento eficiente de datos.
La vulnerabilidad surge de una generación dinámica insegura de código, donde la biblioteca construye funciones JavaScript a partir de esquemas protobuf sin validar adecuadamente los identificadores derivados del esquema. Esto permite la inyección de código malicioso que, al ser ejecutado, podría comprometer servidores, aplicaciones y hasta las máquinas de los desarrolladores, otorgando acceso a credenciales, bases de datos y sistemas internos.
Endor Labs, la empresa que descubrió la falla, recomienda actualizar a las versiones 8.0.1 y 7.5.5, que incluyen una corrección que sanitiza los nombres de tipo. Aunque no se ha reportado explotación activa en la naturaleza, la empresa advierte que la explotación es sencilla y ha publicado un código de prueba de concepto. Se aconseja a los administradores de sistemas auditar dependencias, tratar la carga de esquemas como entrada no confiable y preferir esquemas precompilados en producción.