binary-parser库现代码注入漏洞：未安全处理字段名导致任意JS执行风险

binary-parser库存在代码注入漏洞(CVE-2026-1245)

漏洞概述

在2.3.0版本之前的binary-parser库中存在一个代码注入漏洞。当不受信任的值被用于解析器字段名或编码参数时，攻击者可以执行任意JavaScript代码。

技术细节

该漏洞的核心问题在于：binary-parser库在动态生成的代码中直接插入了这些值，未经任何清理或验证。这种不安全的处理方式使得攻击者能够在Node.js进程的上下文中执行任意代码。

影响范围

• 受影响版本：< 2.3.0
• 修复版本：2.3.0
• 生态系统：npm
• 包名：binary-parser

严重性评估

弱点分类

• CWE-94: 代码生成控制不当（代码注入）
  • 产品使用来自上游组件的外部影响输入构建全部或部分代码段
  • 未中和或错误中和可能修改预期代码段语法或行为的特殊元素

缓解措施

升级到2.3.0或更高版本以修复此漏洞。如果无法立即升级，应避免使用不受信任的输入作为parser字段名或编码参数。

参考链接

• NVD漏洞详情
• CERT/CC漏洞说明
• npm包页面FINISHED glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxf9aXr4xsyiIaFNQQMt6I/fPpiBOZhpToKa2iKpEU+QPw==