Một lỗ hổng bảo mật đã được tiết lộ trong thư viện npm binary-parser phổ biến mà, nếu bị khai thác thành công, có thể dẫn đến việc thực thi JavaScript tùy ý.
Lỗ hổng, được theo dõi là CVE-2026-1245 (điểm CVSS: N/A), ảnh hưởng đến tất cả các phiên bản của module trước phiên bản 2.3.0, phiên bản đã khắc phục vấn đề. Các bản vá cho lỗ hổng đã được phát hành vào ngày 26 tháng 11 năm 2025.
Binary-parser là một trình xây dựng parser được sử dụng rộng rãi cho JavaScript, cho phép các nhà phát triển phân tích dữ liệu nhị phân. Nó hỗ trợ nhiều loại kiểu dữ liệu phổ biến, bao gồm integers, floating-point values, strings và arrays. Gói này thu hút khoảng 13.000 lượt tải xuống hàng tuần.
Theo một khuyến cáo được phát hành bởi CERT Coordination Center (CERT/CC), lỗ hổng này liên quan đến việc thiếu kiểm tra đầu vào của các giá trị do người dùng cung cấp, chẳng hạn như tên trường parser và các tham số encoding, khi mã parser JavaScript được tạo động trong thời gian chạy bằng cách sử dụng "Function" constructor.
Cần lưu ý rằng thư viện npm này xây dựng mã nguồn JavaScript dưới dạng một chuỗi đại diện cho logic phân tích cú pháp và biên dịch nó bằng cách sử dụng Function constructor, sau đó lưu trữ nó dưới dạng một hàm có thể thực thi để phân tích các buffer một cách hiệu quả.
Tuy nhiên, do CVE-2026-1245, một đầu vào do kẻ tấn công kiểm soát có thể xâm nhập vào mã được tạo mà không có sự xác thực đầy đủ, khiến ứng dụng phân tích dữ liệu không đáng tin cậy, dẫn đến việc thực thi mã tùy ý. Các ứng dụng chỉ sử dụng các định nghĩa parser tĩnh, được mã hóa cứng không bị ảnh hưởng bởi lỗ hổng này.
"Trong các ứng dụng bị ảnh hưởng mà xây dựng các định nghĩa parser bằng cách sử dụng đầu vào không đáng tin cậy, kẻ tấn công có thể thực thi mã JavaScript tùy ý với các đặc quyền của tiến trình Node.js," CERT/CC cho biết. "Điều này có thể cho phép truy cập dữ liệu cục bộ, thao túng logic ứng dụng hoặc thực thi các lệnh hệ thống tùy thuộc vào môi trường triển khai."
Nhà nghiên cứu bảo mật Maor Caplan đã được ghi nhận vì đã phát hiện và báo cáo lỗ hổng. Người dùng binary-parser được khuyên nên nâng cấp lên phiên bản 2.3.0 và tránh truyền các giá trị do người dùng kiểm soát vào tên trường parser hoặc các tham số encoding.
