Hack Alerta

Falha crítica em binary-parser (Node.js) permite injeção de código

Por Redação Hack Alerta Publicado em 22/01/2026 08:02 Riscos e Ameaças Tempo de leitura: 3 min

CVE-2026-1245 afeta a biblioteca binary-parser (Node.js) em versões anteriores a 2.3.0: a geração dinâmica de código usando Function permite injeção de JavaScript quando definições de parser são construídas a partir de entradas não confiáveis. O vendor liberou a versão 2.3.0; auditoria de uso dinâmico e atualização imediata são recomendadas.

Uma vulnerabilidade crítica que permite execução arbitrária de código foi identificada na biblioteca binary-parser para Node.js quando aplicações constroem definições de parser a partir de entradas não confiáveis.

O que foi divulgado

O problema, rastreado como CVE-2026-1245 e coberto pelo relatório original, afeta versões do binary-parser anteriores à 2.3.0. A falha decorre do uso inseguro do construtor Function para gerar código JavaScript em tempo de execução, com nomes de campos e parâmetros de codificação inseridos diretamente no código gerado sem sanitização.

Vetor e impacto

Quando aplicações aceitam dados externos para compor definições dinâmicas de parser, um atacante pode manipular esses valores para alterar o código gerado e executar JavaScript arbitrário com os privilégios do processo Node.js. Em cenários de produção, isso pode levar à leitura de arquivos locais, execução de comandos e movimentos laterais dependendo do contexto e permissões do processo vulnerável.

Quem precisa agir

Projetos e aplicações que utilizam binary-parser para interpretar dados de terceiros ou processar entradas externas devem considerar-se em risco. A cobertura destaca que aplicações que usam apenas definições estáticas e hardcoded não são afetadas; o risco existe quando definições são construídas dinamicamente com dados não confiáveis.

Mitigação e orientação prática

  • Atualizar o binary-parser para a versão 2.3.0 ou superior, que introduz validação de entrada e mitigações contra geração insegura de código.
  • Auditar código-fonte para identificar pontos onde dados externos são utilizados como nomes de campos ou parâmetros do parser.
  • Evitar o uso de construção dinâmica de parsers a partir de entradas de usuários; preferir definições estáticas ou validação e escaping rigorosos.
  • Seguir recomendações do CERT/CC e do vendor para aplicação imediata do patch e revisão de dependências transitivas.

Impacto no ecossistema e limitações

Trata-se de uma vulnerabilidade de cadeia de suprimentos em uma biblioteca amplamente utilizada no ecossistema Node.js. A notícia original ressalta que o problema afeta aplicações que processam dados de terceiros de forma dinâmica; não há indicação de exploração automatizada em larga escala na cobertura disponível no momento, mas a gravidade do vetor (execução de código com privilégios do processo) torna urgente a aplicação dos patches.

Observações finais

Organizações devem priorizar inventário de aplicações Node.js e dependências, aplicar a versão 2.3.0 do binary-parser e auditar os pontos de construção dinâmica de parsers. A divulgação original fornece instruções de mitigação e recomendações do CERT/CC citadas pela matéria.

Fonte: Cyber Security News (relato do CVE-2026-1245 e orientações associadas).

Baseado em publicação original de Cyber Security News
Tags: #nodejs #binary-parser #cve-2026-1245 #code-injection #supply-chain #patch #dependencias #seguranca #cert
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar