高下載量protobuf.js函式庫爆RCE漏洞,波及gRPC與Firebase套件
漏洞簡介
研究人員指出該漏洞在於,函式庫在修補前未對型別名稱進行任何過濾或驗證,直接將其拼接至生成的程式碼字串中。Function()的行為本質上與eval()相同,要是型別名稱為惡意內容,就會導致遠端程式碼執行(RCE)。
影響範圍
受影響版本為protobuf.js 8.0.0,以及7.5.4以下版本。這些版本在處理惡意結構定義(Schema)檔案時,可能被攻擊者利用來執行任意程式碼。
修補資訊
官方已發布修補版本:protobuf.js 8.0.1 與 7.5.5。開發團隊建議所有使用者立即升級至最新版本,以避免遭受攻擊。
風險評估
此漏洞的CVSS評分為9.4,屬於極高風險,被視為嚴重安全問題。攻擊者可透過惡意Schema,在應用程式首次處理訊息時觸發任意程式碼執行。
受影響套件
該漏洞波及多個廣泛使用的技術套件,包括gRPC、Firebase與Google Cloud服務,特別是使用protobuf.js作為反序列化工具的應用程式。