Zraniteľnosť NPM knižnice Binary-Parser umožňuje vzdialené vykonanie kódu

Vývojári NPM knižnice pre parsovanie binárnych dát binary-parser vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť CVE‑2026‑1245. Táto spočíva v nedostatočnom overovaní používateľských vstupov, čo by mohol vzdialený neautentifikovaný útočník zneužiť na vzdialené vykonanie kódu JavaScript s privilégiami procesu Node.js.

Zraniteľné systémy:

• binary-parser Node.js vo verziách starších ako 2.3.0

Opis zraniteľností:

CVE‑2026‑1245 (CVSS 3.1 skóre 6.5)

Zraniteľnosť v knižnici binary-parser pre Node.js súvisí s preberaním nesanitizovaných používateľských hodnôt názvov polí a parametrov kódovania priamo do dynamicky generovaného kódu JavaScript. Vzdialený neautentifikovaný útočník tak môže injektovať a spustiť ľubovoľný kód JavaScript v kontexte procesu Node.js, čo môže viesť k úniku dát, manipulácii s aplikáciou alebo vykonaniu systémových príkazov.

Zraniteľnosť nie je možné zneužiť v aplikáciách používajúcich iba napevno kódované definície parserov.

Možné škody:

• Vzdialené vykonanie kódu
• Únik citlivých informácií

Odporúčania:

Administrátorom a vývojárom odporúčame uistiť sa, či ich produkty a služby nevyužívajú predmetnú knižnicu v zraniteľnej verzii. V prípade, že áno, odporúčame bezodkladnú aktualizáciu knižnice na verziu 2.3.0.

Zdroje:

• https://nvd.nist.gov/vuln/detail/CVE-2026-1245
• https://github.com/keichi/binary-parser
• https://kb.cert.org/vuls/id/102648