Foi divulgada uma vulnerabilidade na popular biblioteca binary-parser do npm que, se explorada com sucesso, pode permitir a execução de código JavaScript arbitrário.
Identificada como
CVE-2026-1245
(pontuação CVSS não divulgada), a falha afeta todas as versões anteriores à 2.3.0 do módulo.
A correção foi disponibilizada em 26 de novembro de 2025, por meio de patches que resolvem o problema.
O binary-parser é um construtor de parser amplamente utilizado em JavaScript, permitindo que desenvolvedores processem dados binários.
Ele suporta diversos tipos comuns, como inteiros, valores em ponto flutuante, strings e arrays.
A biblioteca registra cerca de 13 mil downloads semanais.
Segundo um alerta do CERT Coordination Center (CERT/CC), a vulnerabilidade está relacionada à ausência de sanitização dos valores fornecidos pelo usuário, como nomes de campos do parser e parâmetros de codificação, quando o código do parser é gerado dinamicamente em tempo de execução por meio do construtor Function.
A biblioteca cria o código-fonte JavaScript em formato de string — que representa a lógica de parsing — e o compila via Function para armazená-lo em cache como uma função executável, o que aumenta a eficiência no processamento dos buffers.
Entretanto, devido à
CVE-2026-1245
, entradas controladas por atacantes podem ser incorporadas ao código gerado sem validação adequada, potencialmente permitindo a execução de código arbitrário.
Vale destacar que sistemas que utilizam apenas definições estáticas e codificadas do parser não são afetados pela falha.
Conforme o CERT/CC, “em aplicações afetadas que constroem definições do parser a partir de entradas não confiáveis, um invasor pode executar código JavaScript arbitrário com os privilégios do processo Node.js”.
Isso pode resultar em acesso a dados locais, manipulação da lógica da aplicação ou execução de comandos do sistema, dependendo do ambiente.
O pesquisador de segurança Maor Caplan foi responsável pela descoberta e notificação da vulnerabilidade.
Usuários do binary-parser são recomendados a atualizar para a versão 2.3.0 e evitar passar valores controlados por usuários nos nomes de campos do parser ou nos parâmetros de codificação.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...