近日网络安全厂商Cyera的研究团队在Google开源序列化框架Protocol Buffers的JavaScript实现版本protobuf.js中,一次性发现6个安全漏洞,其中最高危漏洞可让攻击者通过构造恶意Schema数据执行任意代码,下游大量使用该组件的AI后端服务、云服务应用均面临供应链攻击风险,目前官方已发布修复补丁。作为Google推出的轻量级结构化数据存储格式,Protocol Buffers(简称Protobuf)凭借比JSON高出3-5倍的序列化/反序列化效率,早已成为分布式系统、云服务的标配通信组件。近两年生成AI服务爆发式增长后,Protobuf更是被广泛应用于大模型推理接口、分布式训练集群的节点数据交互场景,仅JavaScript版本的protobuf.js在npm平台的周下载量就超过3000万次,覆盖数十万款线上应用。Cyera团队披露的6个漏洞中,风险等级最高的漏洞CVSS评分达9.8,属于最高危的远程代码执行漏洞。攻击者只需要上传精心构造的恶意Schema文件,就可以在目标系统上直接执行任意shell代码,全程不需要获取额外的系统权限。由于行业内默认Sc...
滇公网安备 53252802528133号