Una vulnerabilidad de seguridad ha sido revelada en el popular biblioteca npm del analizador binario que, si se explota con éxito, podría dar lugar a la ejecución de JavaScript arbitrario.
La vulnerabilidad, rastreada como CVE-2026-1245 (Puntuación CVSS: 6,5), afecta a todas las versiones del módulo anteriores a versión 2.3.0que aborda el tema. Los parches para la falla se lanzaron el 26 de noviembre de 2025.
Binary-parser es un generador de analizadores ampliamente utilizado para JavaScript que permite a los desarrolladores analizar datos binarios. Admite una amplia gama de tipos de datos comunes, incluidos números enteros, valores de punto flotante, cadenas y matrices. El paquete atrae aproximadamente 13.000 descargas semanales.
Según un consultivo publicado por el Centro de Coordinación CERT (CERT/CC), la vulnerabilidad tiene que ver con un falta de higienización de valores proporcionados por el usuario, como nombres de campos del analizador y parámetros de codificación, cuando el código del analizador JavaScript se genera dinámicamente en tiempo de ejecución utilizando el constructor «Función».
Vale la pena señalar que la biblioteca npm crea código fuente JavaScript como una cadena que representa la lógica de análisis y lo compila utilizando el constructor de funciones y lo almacena en caché como una función ejecutable para analizar los buffers de manera eficiente.
Sin embargo, como resultado de CVE-2026-1245, una entrada controlada por un atacante podría llegar al código generado sin una validación adecuada, lo que provocaría que la aplicación analizara datos que no son de confianza, lo que daría como resultado la ejecución de código arbitrario. Las aplicaciones que utilizan sólo definiciones de analizador estáticas y codificadas no se ven afectadas por la falla.
«En las aplicaciones afectadas que construyen definiciones de analizador utilizando entradas que no son de confianza, un atacante puede ejecutar código JavaScript arbitrario con los privilegios del proceso Node.js», dijo CERT/CC. «Esto podría permitir el acceso a datos locales, la manipulación de la lógica de la aplicación o la ejecución de comandos del sistema dependiendo del entorno de implementación».
Al investigador de seguridad Maor Caplan se le atribuye el descubrimiento y el informe de la vulnerabilidad. Se recomienda a los usuarios de binario-parser que actualicen a la versión 2.3.0 y eviten pasar valores controlados por el usuario a nombres de campos del analizador o parámetros de codificación.
Fuente