«Библиотека protobuf.js крайне популярна в мире, используется сотнями приложений и стабильно входит в топы скачиваний из библиотеки NPM. 50 миллионов скачиваний в неделю — это солидное число. Даже если вы думаете, что ни разу с ней не сталкивались, то скорее всего вы ошибаетесь, если хоть раз в жизни использовали какой-либо из сервисов Google. В этой библиотеке как раз и была обнаружена уязвимость, которая хоть и не получила пока официального номера CVE, всё же имеет потенциально высокий риск эксплуатации», — комментирует Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».
Уязвимость связана с небезопасной генерацией кода при обработке пользовательских protobuf-схем. Из-за отсутствия должной валидации входных данных атакующий может внедрить вредоносный JavaScript-код в название сообщения, который будет выполнен при декодировании. Это открывает возможности для кражи учетных данных, доступа к внутренним системам и развития атаки внутри инфраструктуры. Уязвимы версии 8.0.0 и 7.5.4 и ниже. Патчи, устраняющие проблему, вышли в версиях 8.0.1 и 7.5.5.
«Вообще уязвимости, приводящие к удаленному выполнению кода, — это огромный успех любого злоумышленника и серьезная проблема для тех, кто занимается защитой систем и приложений. Отсюда и внимание к этой ситуации. Сегодня эта угроза остается актуальной и требует обновления вашего приложения. Однако, если ваша инфраструктура находится под постоянным мониторингом SOC, такого как GSOC, то скорее всего вы уже получили все необходимые уведомления и приступили к работе», — добавил эксперт компании «Газинформсервис».
