Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

CERT/CC предупредува: Грешка во binary-parser овозможува извршување код со привилегии во Node.js

Објавено: 21.01.2026

Откриена е безбедносна ранливост во популарната npm библиотека binary-parser која, доколку успешно се искористи, може да резултира со извршување на произволен JavaScript код.

Ранливоста, евидентирана како CVE-2026-1245 (CVSS оцена: N/A), ги засега сите верзии на модулот пред верзија 2.3.0, во која проблемот е поправен. Закрпите за оваа ранливост беа објавени на 26 ноември 2025 година.

Binary-parser е широко користен алат за градење парсери во JavaScript кој им овозможува на развивачите да парсираат бинарни податоци. Поддржува широк спектар на вообичаени типови на податоци, вклучувајќи цели броеви, децимални вредности, стрингови и низи. Пакетот има приближно 13.000 преземања неделно.

Според советодавно известување објавено од CERT Coordination Center (CERT/CC), ранливоста е поврзана со недоволна санитизација на вредности доставени од корисникот, како што се имиња на полиња во парсерот и параметри за енкодирање, кога JavaScript кодот за парсирање динамички се генерира при извршување со користење на конструкторот Function. Важно е да се напомене дека npm библиотеката гради JavaScript изворен код како стринг што ја претставува логиката за парсирање, го компајлира со конструкторот Function и го кешира како извршна функција за ефикасно парсирање на бафери.

Меѓутоа, како резултат на CVE-2026-1245, влез под контрола на напаѓач може да заврши во генерираниот код без соодветна валидација, што доведува апликацијата да парсира недоверливи податоци и да изврши произволен код. Апликациите кои користат само статични, хард-кодирани дефиниции на парсерот не се засегнати од оваа ранливост.

„Во засегнатите апликации кои конструираат дефиниции на парсер користејќи недоверлив влез, напаѓач може да биде во можност да изврши произволен JavaScript код со привилегиите на Node.js процесот“, соопшти CERT/CC. „Ова може да овозможи пристап до локални податоци, манипулација со логиката на апликацијата или извршување системски команди, во зависност од околината на распоредување.“

Безбедносниот истражувач Маор Каплан е заслужен за откривањето и пријавувањето на ранливоста. На корисниците на binary-parser им се препорачува да се надградат на верзија 2.3.0 и да избегнуваат проследување вредности контролирани од корисникот во имињата на полињата на парсерот или во параметрите за енкодирање.

Извори:

  • The Hacker News – CERT/CC Warns binary-parser Bug Allows Node.js Privilege-Level Code Execution The Hacker News