In der Python-Implementierung der protobuf-Bibliothek (alle Versionen bis einschließlich 6.33.4) wurde eine Sicherheitslücke mit hohem Schweregrad entdeckt. Die Schwachstelle CVE-2026-0994 ermöglicht Denial-of-Service-Angriffe durch Umgehung der Rekursionstiefenbegrenzung beim JSON-Parsing.
Das Problem liegt in der Funktion google.protobuf.json_format.ParseDict(). Beim Parsen von verschachtelten google.protobuf.Any-Nachrichten wird die konfigurierte max_recursion_depth-Begrenzung nicht korrekt berücksichtigt. Die interne Any-Verarbeitungslogik zählt die Rekursionstiefe nicht mit, wodurch Angreifer tief verschachtelte Any-Strukturen einschleusen können, die den Python-Rekursionsstack erschöpfen und einen RecursionError auslösen.
Sie sind betroffen, wenn:
- Sie die Python-protobuf-Bibliothek in Version 6.33.4 oder älter einsetzen
- Ihre Anwendung JSON-Daten mit
json_format.ParseDict()verarbeitet - Sie externe oder nicht vertrauenswürdige JSON-Eingaben akzeptieren
- Ihre Implementierung
google.protobuf.Any-Typen verwendet
Prüfen Sie Ihre installierte Version mit: pip show protobuf
Derzeit existiert noch kein Patch. Implementieren Sie bis zur Verfügbarkeit einer korrigierten Version folgende Schutzmaßnahmen:
- Validieren und begrenzen Sie die Verschachtelungstiefe von JSON-Eingaben vor der Verarbeitung
- Setzen Sie zusätzliche Input-Validierung auf Anwendungsebene ein
- Beschränken Sie die Verarbeitung von Any-Typen auf vertrauenswürdige Quellen
- Implementieren Sie Timeouts und Resource-Limits für Parsing-Operationen
- Überwachen Sie die verfügbaren Updates der protobuf-Bibliothek und aktualisieren Sie zeitnah nach Patch-Veröffentlichung
Weitere Informationen: https://nvd.nist.gov/vuln/detail/CVE-2026-0994
