Se detectaron seis vulnerabilidades en protobuf.js, librería clave para Node.js, que permiten ejecución remota de código o denegación de servicio. El problema no es solo técnico: quienes mantienen el proyecto son voluntarios sin financiación, mientras gigantes como Google lo usan sin contribuir a su seguridad.
Fallos en la serialización que abren la puerta a ataques 🛡️
Las vulnerabilidades afectan la manipulación de buffers y la validación de tipos en protobuf.js, permitiendo a un atacante enviar mensajes malformados que desbordan la memoria o ejecutan código arbitrario. La raíz del problema está en la falta de recursos para auditorías continuas. Grandes empresas dependen de esta librería para sistemas críticos, pero no invierten en su mantenimiento, dejando la seguridad en manos de unos pocos desarrolladores no remunerados.
El open source: donde las corporaciones piden, pero no pagan 💸
Google, Amazon y otros usan protobuf.js para mover datos en sus nubes, pero cuando aparecen fallos, el parche lo escribe un voluntario entre dos turnos de su trabajo real. Es como pedirle al vecino que te vigile la casa gratis, y cuando entra un ladrón, quejarte de que no puso mejores candados. El ciudadano confía en sistemas que se sostienen con café y buena voluntad, mientras las empresas facturan millones.