Se ha revelado una vulnerabilidad de seguridad en la popular biblioteca npm del analizador binario que podría explotarse con éxito para ejecutar JavaScript arbitrario.
Esta vulnerabilidad se rastrea como CVE-2026-1245 (puntuación CVSS: N/A) y afecta a todas las versiones del módulo anteriores a la versión 2.3.0, lo que resuelve el problema. Se lanzó un parche para esta falla el 26 de noviembre de 2025.
Binary-parser es un generador de analizadores ampliamente utilizado para JavaScript que permite a los desarrolladores analizar datos binarios. Admite una amplia gama de tipos de datos comunes, como números enteros, valores de punto flotante, cadenas y matrices. Este paquete atrae aproximadamente 13.000 descargas cada semana.
Según un aviso publicado por el Centro de Coordinación CERT (CERT/CC), la vulnerabilidad está relacionada con la falta de desinfección de los valores especificados por el usuario, como los nombres de los campos del analizador y los parámetros de codificación, cuando el código del analizador JavaScript se genera dinámicamente en tiempo de ejecución utilizando el constructor «Función».
Tenga en cuenta que la biblioteca npm construye el código fuente de JavaScript como una cadena que representa la lógica de análisis, lo compila utilizando el constructor de funciones y lo almacena en caché como una función ejecutable para analizar el búfer de manera eficiente.
Sin embargo, como resultado de CVE-2026-1245, la entrada controlada por el atacante puede infiltrarse en el código generado sin la validación adecuada, lo que permite que la aplicación analice datos que no son de confianza, lo que podría conducir a la ejecución de código arbitrario. Las aplicaciones que utilizan únicamente definiciones de analizador estáticas y codificadas no se ven afectadas por esta falla.
«Una aplicación afectada que utiliza entradas que no son de confianza para construir una definición de analizador podría permitir a un atacante ejecutar código JavaScript arbitrario con los privilegios del proceso Node.js», dijo CERT/CC. «Dependiendo del entorno de implementación, esto podría permitir el acceso a datos locales, la manipulación de la lógica de la aplicación y la ejecución de comandos del sistema».
Al investigador de seguridad Maor Caplan se le atribuye el descubrimiento y el informe de la vulnerabilidad. Se recomienda a los usuarios de binario-parser que actualicen a la versión 2.3.0 y eviten pasar valores controlados por el usuario a los nombres de campos del analizador o parámetros de codificación.
Source link
