Protocol Buffers é uma tecnologia para empacotar dados em um formato compacto e estruturado para agilizar a troca de informações entre diferentes aplicações. A biblioteca protobuf.js supostamente recebe mais de 50 milhões de downloads semanais. Geralmente, ele é inserido indiretamente nos aplicativos por meio de dependências como ferramentas gRPC, bibliotecas do Google Cloud e outras estruturas, dificultando o rastreamento pelas organizações.
Os pesquisadores divulgaram seis CVEs cobrindo execução remota de código, condições de negação de serviço (DoS), poluição de protótipo, injeção de protótipo e problemas de geração de código.
“Embora a exploração dessas vulnerabilidades geralmente exija condições específicas, essas condições são cada vez mais comuns em ecossistemas de dados e IA que trocam rotineiramente dados, esquemas e arquivos de configuração entre serviços, repositórios, plataformas de nuvem e integrações de terceiros”, disseram os pesquisadores da Cyera, Assaf Morag e Vladimir Tokarev, em uma postagem no blog.
Patches estão disponíveis para protobuf.js e protonufjs-cli, as ferramentas de geração de código de linha de comando do projeto.
