Дослідники безпеки виявили критичну вразливість у Protobuf.js — популярній бібліотеці JavaScript, що використовується для перетворення складних структур даних у формат, зручний для передачі мережею. Проблема дозволяє зловмисникам виконувати довільний код у середовищі JavaScript. Технічна суть полягає у недостатній перевірці вхідних даних під час обробки спеціально сформованих повідомлень Protocol Buffers. Це призводить до можливості впровадження сторонніх сценаріїв, які виконуються на стороні сервера або клієнта без згоди користувача. В мережі вже опубліковано робочий прототип експлуатації, що значно підвищує ризик масових атак на вебдодатки, які використовують цю бібліотеку.

Наслідки вразливості охоплюють широке коло сервісів, оскільки Protobuf.js інтегрована у тисячі проектів, включаючи хмарні платформи та системи обміну повідомленнями. Зловмисники можуть використовувати цей недолік для перехоплення контролю над серверами, викрадення конфіденційних даних або подальшого просування всередині корпоративних мереж. Оскільки бібліотека є фундаментальним компонентом багатьох сучасних стеків розробки, масштаб потенційного впливу оцінюється як значний. Розробникам рекомендується негайно оновити залежності своїх проектів до останньої стабільної версії, де виправлено логіку обробки протоколів.