{"id":1142,"date":"2026-06-10T06:13:07","date_gmt":"2026-06-10T06:13:07","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/10\/seis-vulnerabilidades-de-proto6-en-protobuf-js-exponen-aplicaciones-de-node-js-a-rce-y-dos-cyberdefensa-mx\/"},"modified":"2026-06-10T06:13:07","modified_gmt":"2026-06-10T06:13:07","slug":"seis-vulnerabilidades-de-proto6-en-protobuf-js-exponen-aplicaciones-de-node-js-a-rce-y-dos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/10\/seis-vulnerabilidades-de-proto6-en-protobuf-js-exponen-aplicaciones-de-node-js-a-rce-y-dos-cyberdefensa-mx\/","title":{"rendered":"Seis vulnerabilidades de Proto6 en protobuf.js exponen aplicaciones de Node.js a RCE y DoS \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los investigadores de ciberseguridad han detectado media docena de vulnerabilidades en protobuf.js, una implementaci\u00f3n de JavaScript y TypeScript de Protocol Buffers (<a href=\"https:\/\/protobuf.dev\/\">Protobuf<\/a>), que, si se explota con \u00e9xito, podr\u00eda provocar ataques de ejecuci\u00f3n remota de c\u00f3digo (RCE) y de denegaci\u00f3n de servicio (DoS).<\/p>\n<p>\u00abEn los entornos afectados, un \u00fanico esquema de protobuf malicioso, un descriptor o una carga \u00fatil dise\u00f1ada podr\u00eda ser suficiente para provocar fallos, corrupci\u00f3n del tiempo de ejecuci\u00f3n o incluso la ejecuci\u00f3n de c\u00f3digo\u00bb, afirma Assaf Morag, investigador de seguridad de Cyera. <a href=\"https:\/\/www.cyera.com\/blog\/cyera-research-uncovers-six-protobuf-js-vulnerabilities-impacting-the-backbone-of-data-and-ai-systems\">dicho<\/a>. Las vulnerabilidades han sido nombradas en c\u00f3digo. <b>Proto6<\/b>.<\/p>\n<p>Protobuf es un mecanismo gratuito, de c\u00f3digo abierto e independiente del idioma para serializar datos estructurados. Originalmente fue desarrollado y utilizado internamente por Google antes de estar disponible p\u00fablicamente en 2008.<\/p>\n<p>Las vulnerabilidades identificadas afectan a las aplicaciones Node.js que utilizan protobuf.js, bibliotecas cliente de Google Cloud y marcos de mensajer\u00eda como <a href=\"https:\/\/baileys.wiki\/docs\/intro\/\">Baileys<\/a>y canales de CI\/CD. Seg\u00fan Cyera, cualquier servicio Node.js que deserialice datos de Protobuf o genere c\u00f3digo a partir de esquemas con protobuf.js probablemente tambi\u00e9n se vea afectado.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-cant-stop-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjPEV6-530TOlxG6PjrmdlY623wpBwduZ7t1HV6flcmO5R4q4AmfixDUzW0CrhlvMVNWbhvOIso-UDNTka4W_W9Chrdj_dglwBZwi7DuePM2IMIl-hfUYVIqBXgfpr_2619K8Gptb4LzwJ6gUbi7lWl2M8AFQJsHEaw63Q7tZ6708YGruiHrr0Y2W9YYxLQ\/s728-e100\/ThreatLocker-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>A continuaci\u00f3n se incluye una breve descripci\u00f3n de cada uno de los defectos:<\/p>\n<ul>\n<li><b>CVE-2026-44289<\/b> (Puntuaci\u00f3n CVSS: 7,5): DoS mediante recursividad ilimitada de protobuf<\/li>\n<li><b>CVE-2026-44290<\/b> (Puntuaci\u00f3n CVSS: 7,5): DoS en todo el proceso al cargar esquemas con rutas de opciones inseguras<\/li>\n<li><b>CVE-2026-44291<\/b> (Puntuaci\u00f3n CVSS: 8,1): dispositivo de generaci\u00f3n de c\u00f3digo despu\u00e9s de la contaminaci\u00f3n del prototipo<\/li>\n<li><b>CVE-2026-44292<\/b> (Puntuaci\u00f3n CVSS: 5,3): Inyecci\u00f3n de prototipos en constructores de mensajes generados<\/li>\n<li><b>CVE-2026-44294<\/b> (Puntuaci\u00f3n CVSS: 5,3): DoS a partir de nombres de campos dise\u00f1ados en el c\u00f3digo generado<\/li>\n<li><b>CVE-2026-44295<\/b> (Puntuaci\u00f3n CVSS: 8,7): inyecci\u00f3n de c\u00f3digo en la salida est\u00e1tica de pbjs a partir de nombres de esquemas elaborados<\/li>\n<\/ul>\n<p>Cyera dijo que todas las vulnerabilidades se derivan del manejo de esquemas y metadatos por parte de la biblioteca como confiables de forma predeterminada. Esta supervisi\u00f3n de la validaci\u00f3n podr\u00eda influir en el comportamiento de la aplicaci\u00f3n y conducir a la ejecuci\u00f3n del c\u00f3digo.<\/p>\n<p>\u00abSi bien la explotaci\u00f3n de estas vulnerabilidades generalmente requiere condiciones espec\u00edficas, esas condiciones son cada vez m\u00e1s comunes en los ecosistemas de datos e inteligencia artificial que intercambian rutinariamente datos, esquemas y archivos de configuraci\u00f3n entre servicios, repositorios, plataformas en la nube e integraciones de terceros\u00bb, se\u00f1al\u00f3 Morag.<\/p>\n<p>En un posible escenario de ataque, un mal actor podr\u00eda introducir un esquema protobuf malicioso para envenenar los flujos de trabajo de CI\/CD, filtrando secretos de compilaci\u00f3n en el proceso (CVE-2026-44295) o bloquear servicios Node.js como los bots de WhatsApp creados con Baileys, una biblioteca TypeScript de automatizaci\u00f3n de API web de WhatsApp, por medio de un mensaje especialmente dise\u00f1ado (CVE-2026-44292).<\/p>\n<p>El m\u00e1s grave de todos es CVE-2026-44291, que provoca la ejecuci\u00f3n de c\u00f3digo cuando una aplicaci\u00f3n Node.js acepta entradas controladas por un atacante.<\/p>\n<p>\u00abEsta informaci\u00f3n llega a un prototipo de dispositivo contra la contaminaci\u00f3n\u00bb, afirma el investigador de seguridad Vladimir Tokarev. <a href=\"https:\/\/www.cyera.com\/research\/proto6-the-schema-was-not-supposed-to-run\">explicado<\/a>. \u00abM\u00e1s tarde, el mismo proceso usa protobuf.js para codificar o decodificar un mensaje. Debido a que protobuf.js resuelve nombres de tipos a trav\u00e9s de b\u00fasquedas de propiedades simples, un Object.prototype contaminado puede hacer que una cadena controlada por un atacante parezca una primitiva de protobuf v\u00e1lida\u00bb.<\/p>\n<p>\u00abProtobuf.js luego inserta esa cadena en una funci\u00f3n codificadora o decodificadora generada y la compila con Function(). El atacante obtiene una ejecuci\u00f3n arbitraria de JavaScript dentro del proceso Node.js\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-threat-report-m\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhFlTC7RrRZGiFAgASS0noWSL0qsQGFVp8-Hvuw9yp3X3VKRuTcb5SsPX09wJzrdIM6pu1_5lS4EeZp7Sx4iYBpNJkrGnpr08yyaS1HQ5_5TxaCsP6O0OtHNuOkesn6CbNjao1GPulCJk-uljYMSfMZfBYNrngpe669t7jlRn1FqiEnXhsFD1WVkpaYIVgh\/s728-e100\/ai-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Las siguientes versiones de la herramienta son vulnerables:<\/p>\n<ul>\n<li>protobuf.js: versiones &lt;= 7.5.5 y &gt;= 8.0.0 &lt;= 8.0.1<\/li>\n<li>protobufjs-cli: versiones &lt;= 1.2.0 y &gt;= 2.0.0 &lt;= 2.0.1<\/li>\n<\/ul>\n<p>Los parches para las fallas est\u00e1n disponibles en protobufjs 7.5.6 y 8.0.2, y protobufjs-cli 1.2.1 y 2.0.2. Se recomienda a los usuarios que apliquen las \u00faltimas correcciones para protegerse contra posibles amenazas.<\/p>\n<p>\u00abDebido a que protobuf.js se usa mucho dentro de bases de datos, almacenes de vectores, canales de inferencia, sistemas de orquestaci\u00f3n, herramientas CI\/CD y SDK en la nube, una explotaci\u00f3n exitosa podr\u00eda afectar las cargas de trabajo empresariales y de IA sensibles a escala\u00bb, dijo Cyera.<\/p>\n<p>\u00abEl software moderno trata cada vez m\u00e1s esquemas, metadatos y archivos de configuraci\u00f3n como entradas confiables que impulsan la automatizaci\u00f3n, la orquestaci\u00f3n y la generaci\u00f3n de c\u00f3digo. Cuando esas suposiciones de confianza se rompen, los datos pueden convertirse en comportamiento. Ese cambio crea nuevas superficies de ataque que los equipos de seguridad deben aprender a identificar y administrar\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han detectado media docena de vulnerabilidades en protobuf.js, una implementaci\u00f3n de JavaScript y TypeScript de Protocol Buffers (Protobuf), que, si se explota con \u00e9xito, podr\u00eda provocar ataques de ejecuci\u00f3n remota de c\u00f3digo (RCE) y de denegaci\u00f3n de servicio (DoS). \u00abEn los entornos afectados, un \u00fanico esquema de protobuf malicioso, un descriptor [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[786,24,494,1338,2332,3014,3015,779,760,342],"class_list":["post-1142","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-aplicaciones","tag-cyberdefensa-mx","tag-dos","tag-exponen","tag-node-js","tag-proto6","tag-protobuf-js","tag-rce","tag-seis","tag-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1142","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1142"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1142\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1142"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1142"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1142"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}