Se ha descubierto una vulnerabilidad de seguridad en la popular biblioteca de análisis binario NPM que, si se explota con éxito, podría provocar la ejecución de JavaScript arbitrario.
La vulnerabilidad, rastreada como CVE-2026-1245 (Puntuación CVSS: N/A), afecta a todas las versiones del módulo anteriores a la versión 2.3.0, lo que soluciona el problema. Los parches para el error se lanzaron el 26 de noviembre de 2025.
Binary-Parser es un generador de analizadores ampliamente utilizado para JavaScript que permite a los desarrolladores analizar datos binarios. Admite una variedad de tipos de datos comunes, incluidos números enteros, valores de punto flotante, cadenas y matrices. El paquete se descarga aproximadamente 13.000 veces por semana.
Según un aviso publicado por el Centro de Coordinación CERT (CERT/CC), la vulnerabilidad está relacionada con la falta de desinfección de los valores proporcionados por el usuario, como los nombres de los campos del analizador y los parámetros de codificación, cuando el código del analizador JavaScript se genera dinámicamente en tiempo de ejecución utilizando el constructor “Función”.
Vale la pena señalar que la biblioteca npm crea código fuente JavaScript como una cadena que representa la lógica de análisis, lo compila utilizando el constructor de funciones y lo almacena en caché como una función ejecutable para analizar buffers de manera eficiente.
Sin embargo, debido a CVE-2026-1245, la entrada controlada por un atacante podría ingresar al código generado sin la validación adecuada, lo que podría causar que la aplicación analice datos que no son de confianza, lo que llevaría a la ejecución de código arbitrario. Las aplicaciones que sólo utilizan definiciones de analizador estáticas y codificadas no se ven afectadas por la vulnerabilidad.
“En las aplicaciones afectadas que crean definiciones de analizador utilizando entradas que no son de confianza, un atacante puede ejecutar código JavaScript arbitrario con los privilegios del proceso Node.js”, dijo CERT/CC. “Dependiendo del entorno de implementación, esto podría permitir el acceso a datos locales, la manipulación de la lógica de la aplicación o la ejecución de comandos del sistema”.
Al investigador de seguridad Maor Caplan se le atribuye el descubrimiento y el informe de la vulnerabilidad. Se recomienda a los usuarios del analizador binario que actualicen a la versión 2.3.0 y eviten pasar valores controlados por el usuario a los nombres de campos del analizador o parámetros de codificación.
About The Author
