Si tienes un servidor o desarrollas apps con Node.js, para lo que estés haciendo y revisa tus dependencias. Hoy se ha hecho pública la vulnerabilidad CVE-2026-41242 que afecta a la librería protobuf.js. No es un fallo cualquiera; estamos ante una ejecución remota de código (RCE) que permite que un atacante tome el control de tu máquina simplemente enviando un mensaje malformado. Es de esas cosas que te arruinan el fin de semana si no estás atento.
Lo que más me cabrea es que esta librería está metida en casi todo lo que usamos.
Seguramente no la hayas instalado tú directamente, pero es una dependencia de Google Cloud, Firebase y mil herramientas más. El problema reside en cómo se deserializan ciertos campos anidados, lo que provoca un desbordamiento de memoria que el atacante puede aprovechar para inyectar sus propios comandos. Es un fallo de lógica de manual, de esos que te hacen preguntarte cómo es posible que sigamos cometiendo estos errores en 2026 en piezas de software tan críticas.
Ya hay parches disponibles (tienes que subir a la versión 7.4.1 inmediatamente), pero la limpieza va a ser larga.
En el foro siempre decimos que la seguridad absoluta es una utopía, pero esto es como dejar la llave de casa puesta por fuera y con un cartel luminoso. Los bots ya están escaneando redes buscando víctimas y la ventana para actualizar se está cerrando por momentos. Si gestionas infraestructuras críticas, mi consejo es que no esperes a mañana; fuerza el npm update ahora mismo y duerme un poco más tranquilo esta noche. Es increíble que dependamos de hilos tan finos para que internet no se desmorone cada dos por tres.