https://cyberveille.ch/tags/ghsa-xq3m-2v4x-88gg/ Recent content in GHSA-Xq3m-2v4x-88gg on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 20 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-20-rce-critique-dans-protobuf-js-execution-de-code-via-schemas-malveillants-ghsa-xq3m-2v4x-88gg/ Mon, 20 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-20-rce-critique-dans-protobuf-js-execution-de-code-via-schemas-malveillants-ghsa-xq3m-2v4x-88gg/ <h2 id="-contexte">📰 Contexte</h2> <p>Source : BleepingComputer, publié le 18 avril 2026. La société de sécurité applicative <strong>Endor Labs</strong> a publié un rapport détaillant une vulnérabilité critique d&rsquo;<strong>exécution de code à distance (RCE)</strong> dans <strong>protobuf.js</strong>, l&rsquo;implémentation JavaScript des Protocol Buffers de Google. La bibliothèque est téléchargée environ <strong>50 millions de fois par semaine</strong> sur npm.</p> <h2 id="-détails-techniques">🔍 Détails techniques</h2> <p>La vulnérabilité est identifiée sous <strong>GHSA-xq3m-2v4x-88gg</strong> (aucun CVE officiel attribué à ce jour). Elle est causée par une <strong>génération dynamique de code non sécurisée</strong> :</p>