Os Perigos da Reutilização de Definições Protobuf: Execução Crítica de Código em protobuf.js (GHSA-xq3m-2v4x-88gg)

A Endor Labs descobriu uma vulnerabilidade crítica de execução remota de código (GHSA-xq3m-2v4x-88gg, CVSS 9.4) em protobuf.js, uma biblioteca de serialização amplamente utilizada e frequentemente incluída transitivamente via @grpc/proto-loader, Firebase e Google Cloud SDKs. A falha ocorre porque a biblioteca concatena nomes de tipo de schema não validados diretamente no código-fonte JavaScript e os avalia através do Function constructor, permitindo que atacantes, ao fornecerem um arquivo de configuração malicioso, alcancem execução de código não autenticada quando a aplicação alvo processa sua primeira mensagem. Defensores devem atualizar imediatamente para protobufjs 8.0.1 ou 7.5.5, auditar dependências transitivas e tratar endpoints de carregamento dinâmico de schema, como Root.fromJSON, como superfícies de execução não confiáveis.