Protobufライブラリの重大な脆弱性、任意のJavaScriptコード実行を可能に

概要

• Endor Labsが、Protobuf JSライブラリに重大なRCE（リモートコード実行）脆弱性を発見。
• このライブラリはスキーマの識別子を文字列結合でJS関数を組み立て、Function()コンストラクタで実行する。
• 攻撃者が制御するprotobufスキーマから、任意のJavaScriptを注入できる。
• 信頼できないprotobufスキーマを処理するアプリすべてに影響。

ディスカッション

• @lioeters：典型的な「evalは危険」パターン。Function()コンストラクタが安全でないevalの代替として使われている。
• @skybrian：重要な問いを提起——攻撃者はどうやって悪意あるスキーマを供給するのか？アプリのアーキテクチャ次第。
• @rvz：JS/TSおよびnpmエコシステム自体がこうしたセキュリティ問題が繰り返される根本原因、という広い視点での見解。

HNで議論を読む

原文（英語）: Critical flaw in Protobuf library enables JavaScript code execution