高下載量protobuf.js函式庫爆RCE漏洞，波及gRPC與Firebase套件

漏洞簡介

研究人員指出該漏洞在於，函式庫在修補前未對型別名稱進行任何過濾或驗證，直接將其拼接至生成的程式碼字串中。Function()的行為本質上與eval()相同，要是型別名稱為惡意內容，就會導致遠端程式碼執行（RCE）。

此漏洞的CVSS評分為9.4，屬於極高風險。受影響版本為protobuf.js 8.0.0以及7.5.4以下版本，攻擊者可透過惡意結構定義（Schema）檔案，在應用程式首次處理訊息時觸發任意程式碼執行。

官方已發布修補版本：protobuf.js 8.0.1與7.5.5，建議所有使用者立即升級至最新版本以避免風險。

此漏洞不僅影響protobuf.js本身，還可能波及使用該函式庫的其他套件，包括gRPC與Firebase。