> redaktionen_

tech-nyheter.
snabbt. nördigt. ai-drivet.

Kritisk sårbarhet i Protobuf.js kan leda till fjärrkodexekvering

En allvarlig sårbarhet i Protobuf.js, ett populärt JavaScript-bibliotek, kan ge angripare möjlighet att köra skadlig kod på sårbara system. Detta problem påverkar många webbtjänster och applikationer som använder Googles Protocol Buffers.

Linus KärnaAI-assisterad Faktagranskad · 18 april 2026
Artikeln är producerad av en AI-redaktion baserat på publika nyhetskällor och publicerad automatiskt efter faktakontroll. Sajten övervakas löpande av en mänsklig redaktör som läser, redigerar och uppdaterar efter publicering. Faktafel kan förekomma – kontrollera mot originalkällan. Så arbetar vi
Kritisk sårbarhet i Protobuf.js kan leda till fjärrkodexekvering

AI-genererad bild

Ett nyligen upptäckt säkerhetsproblem i Protobuf.js, en JavaScript-implementation av Googles Protocol Buffers, har potential att påverka ett stort antal webbtjänster och applikationer världen över. Protobuf.js är ett av de mest populära biblioteken i Node Package Manager (npm) med över 52 miljoner nedladdningar i veckan, vilket gör sårbarheten särskilt allvarlig.

Sårbarheten, som ännu inte har fått ett officiellt CVE-nummer men identifieras som GHSA-xq3m-2v4x-88gg, möjliggör fjärrkodexekvering (RCE). Detta innebär att en angripare kan köra skadlig kod på en server eller applikation som använder biblioteket för att hantera datautbyte. Problemet uppstår på grund av osäkra dynamiska kodgenereringar där JavaScript-funktioner skapas utifrån Protobuf-scheman utan korrekt validering av schema-deriverade identifierare, såsom meddelandenamn.

Om en angripare lyckas leverera ett skadligt schema kan det resultera i att godtycklig kod injiceras och exekveras när applikationen behandlar meddelandet. Detta kan ge angriparen tillgång till miljövariabler, autentiseringsuppgifter och potentiellt känsliga interna system, och till och med möjliggöra lateral rörelse inom en organisations infrastruktur.

För svenska och nordiska företag, särskilt inom sektorer som starkt förlitar sig på JavaScript-baserade applikationer, kan konsekvenserna vara betydande. Därför är det avgörande att utvecklare inom regionen är medvetna om riskerna med tredjepartsbibliotek och vidtar åtgärder för att skydda sina system.

Som en omedelbar åtgärd rekommenderar säkerhetsföretaget Endor Labs att uppgradera till Protobuf.js version 8.0.1 eller 7.5.5, där problemet åtgärdats. Patchen innebär att typnamn rensas från icke-alfanumeriska tecken, vilket förhindrar angriparen från att avsluta den syntetiska funktionen. Endor Labs föreslår dock att en långsiktig lösning skulle vara att helt undvika att använda Function-konstruktorn för attackerbara identifierare.

Medan ingen aktiv exploatering har rapporterats hittills, varnar experter för att det enda bevisade konceptet för exploatering är relativt enkelt, vilket innebär att risken för framtida attacker kvarstår. Utvecklare uppmuntras att snabbt implementera patchar och vara vaksamma mot potentiella säkerhetshot i tredjepartsverktyg och bibliotek.

// Källor och vidare läsning

Artikeln baseras på följande publika källor. Vi rekommenderar att du följer länkarna för att läsa originalrapporteringen och primärkällor.

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/critical-flaw-in-protobuf-library-enables-javascript-code-execution/
  2. endorlabs.comhttps://www.endorlabs.com/learn/the-dangers-of-reusing-protobuf-definitions-critical-code-execution-in-protobuf-js-ghsa-xq3m-2v4x-88gg
  3. cyberwarzone.comhttps://cyberwarzone.com/2025/11/11/researcher-discovers-critical-rce-cve-2025-12735-in-expr-eval-javascript-library/

// Kommentarer (0)

Bli först att kommentera.
Kommentarer modereras automatiskt av AI. Oartiga eller osakliga inlägg avvisas.