CVE-2026-41242: Lỗ hổng RCE critical trong protobuf.js — 52 triệu lượt tải/tuần bị ảnh hưởng

Endor Labs phát hiện lỗ hổng code injection nghiêm trọng (CVSS 9.4) trong protobuf.js: chỉ cần một file schema độc hại là app có thể bị RCE ngay khi decode message đầu tiên. Ảnh hưởng gRPC, Firebase, Google Cloud SDKs. Patch có sẵn ở 8.0.1 và 7.5.5.