protobuf.js'de 6 tane proto6 zafiyeti çıkmış, node.js uygulamaları tehlikede

Posted on 10 Haz 2026

arkadaşlar, protobuf.js kütüphanesinde 6 tane ciddi zafiyet bulunmuş. bu kütüphane protocol buffers’ın javascript/typescript implementasyonu, yani node.js dünyasında oldukça yaygın kullanılıyor. güvenlik araştırmacıları “proto6” adını vermişler bu zafiyet setine.

spoiler: tek bir kötü niyetli protobuf şeması, descriptor ya da crafted payload yeterli olabilir bu açıkları tetiklemek için. yani ciddi ciddi bakmak lazım bu işe.

ne var ne yok bu proto6 olayında

protobuf.js kütüphanesinde bulunan bu 6 zafiyet, başarılı bir şekilde sömürüldüğünde iki ana soruna yol açabiliyor:

  • uzaktan kod çalıştırma (RCE): yani saldırgan sizin sunucunuzda kod çalıştırabiliyor. klasik felaket senaryosu.
  • hizmet dışı bırakma (DoS): uygulamanızı çökertebiliyor, sistemleriniz erişilemez hale gelebiliyor.

şöyle düşünün: tek bir kötü hazırlanmış protobuf mesajı alıyorsunuz, hop sisteminiz ele geçirilmiş ya da çökmüş. tam bir kabus senaryosu yani.

etkilenen sistemler

Sistem/KütüphaneDurum
protobuf.js✅ Etkileniyor
Node.js uygulamaları (protobuf.js kullanan)✅ Etkileniyor
TypeScript uygulamaları (protobuf.js kullanan)✅ Etkileniyor

kim etkileniyor

eğer node.js ya da typescript projelerinizde protobuf.js kullanıyorsanız, bu iş size de dokunuyor demektir. özellikle:

  • mikroservis mimarilerinde protobuf kullanan arkadaşlar
  • api gateway’lerde protobuf parsing yapanlar
  • grpc implementasyonlarında bu kütüphaneyi kullananlar

dikkat: package.json’unuza bi bakın, dependencies’de protobuf.js varsa işte o zaman alarm zillleri çalmalı.

ne yapmalısınız

şimdi yapmanız gerekenler şunlar:

1. bağımlılıkları kontrol edin

# protobuf.js kullanıp kullanmadığınızı kontrol edin
npm list protobufjs

# ya da yarn kullanıyorsanız
yarn list --pattern protobufjs

# pnpm için
pnpm list protobufjs

2. güncelleme yapın

# npm ile güncelleme
npm update protobufjs

# yarn ile
yarn upgrade protobufjs

# pnpm ile
pnpm update protobufjs

# en son versiyona zorlamak için
npm install protobufjs@latest

3. bağımlılık ağacını kontrol edin

# indirect dependencies'de de olabilir
npm ls protobufjs

# audit çalıştırın
npm audit
npm audit fix

4. uygulamanızı test edin

önce test ortamında deneyin, sonra sıkıntı çıkarsa bana sormayın.

# testlerinizi çalıştırın
npm test

# integration testler varsa onları da
npm run test:integration

geçici çözümler (hemen yamalayamıyorsanız)

eğer production’da hemen güncelleme yapamıyorsanız, şu önlemleri alabilirsiniz:

1. input validasyonu sıkılaştırın:

  • gelen protobuf mesajlarını strict validation’dan geçirin
  • mesaj boyutlarına limit koyun
  • güvenilmeyen kaynaklardan gelen protobuf mesajlarını kabul etmeyin

2. ağ seviyesinde önlem alın:

# güvenlik duvarı kuralları ile protobuf endpoint'lerinize erişimi kısıtlayın
# sadece bilinen ip'lerden izin verin

# rate limiting uygulayın
# nginx örneği:
# limit_req_zone $binary_remote_addr zone=protobuf:10m rate=10r/s;

3. monitoring ve alerting:

  • anormal protobuf parsing hatalarını izleyin
  • beklenmedik cpu/memory kullanımlarına alert koyun
  • suspicious pattern’ler için log analizi yapın
// örnek error handling
try {
  const message = protobuf.parse(data);
} catch (error) {
  logger.error('Protobuf parsing error', { error, data });
  // alert your security team
  alertSecurityTeam(error);
}

tehdit seviyesi

🔴 kritik seviye: RCE zafiyeti olduğu için acil yamalayın arkadaşlar. uzaktan kod çalıştırma demek, saldırganın sisteminizde istediği her şeyi yapabilmesi demek.

edit: henüz aktif sömürü haberi gelmemiş ama bu tür açıklar hızlıca weaponize edilebiliyor, oyalanmayın.

timeline

  • keşif tarihi: güvenlik araştırmacıları tarafından bulunmuş
  • açıklama tarihi: 2026-06-10
  • yama durumu: güncel versiyonlarda düzeltilmiş
  • önerilen aksiyon süresi: hemen, bugün

ek öneriler

  • dependency scanning: ci/cd pipeline’ınıza dependency scanning ekleyin, bu tür açıkları otomatik yakalayın
  • renovate bot: otomatik pr’larla bağımlılıklarınızı güncel tutun
  • security policy: protobuf mesajları için güvenlik politikası oluşturun
# .github/dependabot.yml örneği
version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    open-pull-requests-limit: 10

sonuç

agalar, protobuf.js kullanan herkes bu işe atlasın. 6 tane zafiyet var, RCE potansiyeli var, DoS riski var. yani tam bir felaket paketi.

yedek almadan güncelleme yapmayın, test ortamında deneyin önce, sonra production’a alın. ama oyalanmayın, bu iş acil.

bağımlılıklarınızı kontrol edin, güncelleyin, test edin, deploy edin. klasik güncelleme rutini işte, ama bu sefer gerçekten acil.

kaynaklar

not: henüz cve numaraları atanmamış gibi görünüyor, atandığında buraya ekleyeceğim.

edit: production sistemlerinizde monitoring’i sıkılaştırın, anormal aktivite varsa hemen müdahale edin.

Bu içerik yapay zeka tarafından oluşturulmuştur.