<![CDATA[ðŸšĻ āļ”āđˆāļ§āļ™!āļžāļšāļŠāđˆāļ­āļ‡āđ‚āļŦāļ§āđˆāđƒāļ™āđ„āļĨāļšāļĢāļēāļĢāļĩ Protobuf (protobuf.js) āļ­āļēāļˆāļ™āļģāđ„āļ›āļŠāļđāđˆāļāļēāļĢāļĢāļąāļ™ JavaScript āļšāļ™āļĢāļ°āļšāļš ðŸšĻ]]>āļĻāļđāļ™āļĒāđŒāļ›āļĢāļ°āļŠāļēāļ™āļāļēāļĢāļĢāļąāļāļĐāļēāļ„āļ§āļēāļĄāļĄāļąāđˆāļ™āļ„āļ‡āļ›āļĨāļ­āļ”āļ āļąāļĒāļĢāļ°āļšāļšāļ„āļ­āļĄāļžāļīāļ§āđ€āļ•āļ­āļĢāđŒāđāļŦāđˆāļ‡āļŠāļēāļ•āļī (ThaiCERT) āđ„āļ”āđ‰āļ•āļīāļ”āļ•āļēāļĄāļŠāļ–āļēāļ™āļāļēāļĢāļ“āđŒāļ‚āđˆāļēāļ§āļŠāļēāļĢāļ āļąāļĒāļ„āļļāļāļ„āļēāļĄāļ—āļēāļ‡āđ„āļ‹āđ€āļšāļ­āļĢāđŒ āļžāļšāļŠāđˆāļ­āļ‡āđ‚āļŦāļ§āđˆāđƒāļ™āđ„āļĨāļšāļĢāļēāļĢāļĩ protobuf.js āļ‹āļķāđˆāļ‡āđ€āļ›āđ‡āļ™āđ„āļĨāļšāļĢāļēāļĢāļĩ JavaScript āļ—āļĩāđˆāđƒāļŠāđ‰āļŠāļģāļŦāļĢāļąāļšāļˆāļąāļ”āļāļēāļĢāļ‚āđ‰āļ­āļĄāļđāļĨāđāļšāļš Protocol Buffers āđāļĨāļ°āļĄāļĩāļāļēāļĢāđƒāļŠāđ‰āļ‡āļēāļ™āļ­āļĒāđˆāļēāļ‡āđāļžāļĢāđˆāļŦāļĨāļēāļĒāđƒāļ™āļĢāļ°āļšāļš Node.js āđāļĨāļ°āđāļ­āļ›āļžāļĨāļīāđ€āļ„āļŠāļąāļ™āļˆāļģāļ™āļ§āļ™āļĄāļēāļ [1]

  1. āļĢāļēāļĒāļĨāļ°āđ€āļ­āļĩāļĒāļ”āļŠāđˆāļ­āļ‡āđ‚āļŦāļ§āđˆ [2]
    CVE-2026-41242 (CVSS 4.0: 9.4) āđ€āļ›āđ‡āļ™āļŠāđˆāļ­āļ‡āđ‚āļŦāļ§āđˆāļ›āļĢāļ°āđ€āļ āļ— Remote Code Execution (RCE) āļŠāļēāđ€āļŦāļ•āļļāđ€āļāļīāļ”āļˆāļēāļāļāļēāļĢāđƒāļŠāđ‰ dynamic code generation āļ—āļĩāđˆāđ„āļĄāđˆāļ›āļĨāļ­āļ”āļ āļąāļĒāđƒāļ™āļāļēāļĢāđāļ›āļĨāļ‡ schema āļ‚āļ­āļ‡ protobuf āđ€āļ›āđ‡āļ™āļŸāļąāļ‡āļāđŒāļŠāļąāļ™ JavaScript āđ‚āļ”āļĒāļœāļđāđ‰āđ‚āļˆāļĄāļ•āļĩāļŠāļēāļĄāļēāļĢāļ–āđāļ—āļĢāļāđ‚āļ„āđ‰āļ”āļ­āļąāļ™āļ•āļĢāļēāļĒāļĨāļ‡āđƒāļ™ protobuf definitions āļ—āļģāđƒāļŦāđ‰āđ‚āļ„āđ‰āļ”āļ”āļąāļ‡āļāļĨāđˆāļēāļ§āļ–āļđāļāļ›āļĢāļ°āļĄāļ§āļĨāļœāļĨāđƒāļ™āļ‚āļąāđ‰āļ™āļ•āļ­āļ™āļāļēāļĢāļ–āļ­āļ”āļĢāļŦāļąāļŠ (decode) āļŠāđˆāļ‡āļœāļĨāđƒāļŦāđ‰āļŠāļēāļĄāļēāļĢāļ–āļĢāļąāļ™ JavaScript āļšāļ™āļĢāļ°āļšāļšāđ„āļ”āđ‰ āļ‹āļķāđˆāļ‡āļ­āļēāļˆāļ™āļģāđ„āļ›āļŠāļđāđˆāļāļēāļĢāļĒāļķāļ”āļ„āļĢāļ­āļ‡āļĢāļ°āļšāļšāļŦāļĢāļ·āļ­āđ‚āļ„āļĢāļ‡āļŠāļĢāđ‰āļēāļ‡āļžāļ·āđ‰āļ™āļāļēāļ™āļ‚āļ­āļ‡āļ­āļ‡āļ„āđŒāļāļĢ āļĢāļ§āļĄāļ–āļķāļ‡āļāļēāļĢāđ€āļ‚āđ‰āļēāļ–āļķāļ‡āļ‚āđ‰āļ­āļĄāļđāļĨāļŠāļģāļ„āļąāļāđāļĨāļ°āļāļēāļĢāļ”āļģāđ€āļ™āļīāļ™āļāļīāļˆāļāļĢāļĢāļĄāļ—āļĩāđˆāđ€āļ›āđ‡āļ™āļ­āļąāļ™āļ•āļĢāļēāļĒāļ āļēāļĒāđƒāļ™āļĢāļ°āļšāļš

āļ—āļąāđ‰āļ‡āļ™āļĩāđ‰ āļŦāļ™āđˆāļ§āļĒāļ‡āļēāļ™āļŠāļēāļĄāļēāļĢāļ–āļ•āļĢāļ§āļˆāļŠāļ­āļšāļ‚āđ‰āļ­āļĄāļđāļĨāđ€āļžāļīāđˆāļĄāđ€āļ•āļīāļĄāđ„āļ”āđ‰āļ—āļĩāđˆ https://dg.th/9djai7eyxq

  1. āđ€āļ§āļ­āļĢāđŒāļŠāļąāļ™āļ—āļĩāđˆāđ„āļ”āđ‰āļĢāļąāļšāļœāļĨāļāļĢāļ°āļ—āļš
    â€Ē protobuf.js āļ•āđˆāļģāļāļ§āđˆāļē 7.5.5
    â€Ē protobuf.js āđ€āļ§āļ­āļĢāđŒāļŠāļąāļ™ 8.0.0-experimental āļ–āļķāļ‡āļāđˆāļ­āļ™ 8.0.1

  2. āđāļ™āļ§āļ—āļēāļ‡āļāļēāļĢāđāļāđ‰āđ„āļ‚
    3.1 āļ­āļąāļ›āđ€āļ”āļ•āđ„āļĨāļšāļĢāļēāļĢāļĩ protobuf.js āđ€āļ›āđ‡āļ™āđ€āļ§āļ­āļĢāđŒāļŠāļąāļ™āļ—āļĩāđˆāđ„āļ”āđ‰āļĢāļąāļšāļāļēāļĢāđāļāđ‰āđ„āļ‚āđāļĨāđ‰āļ§āļ—āļąāļ™āļ—āļĩ
    3.2 āļŦāļĨāļĩāļāđ€āļĨāļĩāđˆāļĒāļ‡āļāļēāļĢāđƒāļŠāđ‰ protobuf definitions āļˆāļēāļāđāļŦāļĨāđˆāļ‡āļ—āļĩāđˆāđ„āļĄāđˆāļ™āđˆāļēāđ€āļŠāļ·āđˆāļ­āļ–āļ·āļ­
    3.3 āđƒāļŠāđ‰āļĢāļ°āļšāļšāļ•āļĢāļ§āļˆāļˆāļąāļšāđāļĨāļ°āļ›āđ‰āļ­āļ‡āļāļąāļ™āļāļēāļĢāļšāļļāļāļĢāļļāļ (IDS/IPS) āđ€āļžāļ·āđˆāļ­āđ€āļāđ‰āļēāļĢāļ°āļ§āļąāļ‡āļžāļĪāļ•āļīāļāļĢāļĢāļĄāļœāļīāļ”āļ›āļāļ•āļī

  3. āļĄāļēāļ•āļĢāļāļēāļĢāļŠāļąāđˆāļ§āļ„āļĢāļēāļ§ (āļāļĢāļ“āļĩāļĒāļąāļ‡āđ„āļĄāđˆāļŠāļēāļĄāļēāļĢāļ–āļ­āļąāļ›āđ€āļ”āļ•āđ„āļ”āđ‰āļ—āļąāļ™āļ—āļĩ)
    4.1 āļŦāļĨāļĩāļāđ€āļĨāļĩāđˆāļĒāļ‡āļāļēāļĢāļ›āļĢāļ°āļĄāļ§āļĨāļœāļĨ protobuf schema āļŦāļĢāļ·āļ­āļ‚āđ‰āļ­āļĄāļđāļĨāļˆāļēāļāđāļŦāļĨāđˆāļ‡āļ āļēāļĒāļ™āļ­āļāļ—āļĩāđˆāđ„āļĄāđˆāđ€āļŠāļ·āđˆāļ­āļ–āļ·āļ­
    4.2 āļˆāļģāļāļąāļ”āļŠāļīāļ—āļ˜āļīāđŒāļāļēāļĢāļ—āļģāļ‡āļēāļ™
    4.3 āļ›āļīāļ”āļāļēāļĢāđƒāļŠāđ‰āļ‡āļēāļ™āļŸāļąāļ‡āļāđŒāļŠāļąāļ™āļŦāļĢāļ·āļ­āđ‚āļĄāļ”āļđāļĨāļ—āļĩāđˆāđ„āļĄāđˆāļˆāļģāđ€āļ›āđ‡āļ™ āđ€āļžāļ·āđˆāļ­āļĨāļ”āļāļēāļĢāđ‚āļˆāļĄāļ•āļĩ (Attack Surface)
    4.4 āđƒāļŠāđ‰ sandbox āļŦāļĢāļ·āļ­ runtime isolation āļŠāļģāļŦāļĢāļąāļšāļāļēāļĢāļ›āļĢāļ°āļĄāļ§āļĨāļœāļĨāļ‚āđ‰āļ­āļĄāļđāļĨāļ—āļĩāđˆāļĄāļĩāļ„āļ§āļēāļĄāđ€āļŠāļĩāđˆāļĒāļ‡

Protobuf.png

āđāļŦāļĨāđˆāļ‡āļ­āđ‰āļēāļ‡āļ­āļīāļ‡
[1] https://dg.th/jrdst2a38g
[2] https://dg.th/68b2xmodws

🛑 āļŦāļĄāļēāļĒāđ€āļŦāļ•āļļ - āļ­āđ‰āļēāļ‡āļ­āļīāļ‡ CVSS āļˆāļēāļ https://www.cve.org/ 🛑

]]>https://webboard-nsoc.ncsa.or.th/topic/2812/āļ”-āļ§āļ™-āļžāļšāļŠ-āļ­āļ‡āđ‚āļŦāļ§-āđƒāļ™āđ„āļĨāļšāļĢāļēāļĢ-protobuf-protobuf-js-āļ­āļēāļˆāļ™āļģāđ„āļ›āļŠ-āļāļēāļĢāļĢ-āļ™-javascript-āļšāļ™āļĢāļ°āļšāļšRSS for NodeWed, 22 Apr 2026 14:50:57 GMTWed, 22 Apr 2026 09:20:55 GMT60