Node.js(JavaScript)でバイナリデータ解析に使われるnpmパッケージbinary-parserに、コードインジェクションの脆弱性(CVE-2026-1245)が公表されました。影響を受けるのは2.3.0未満で、条件次第ではNode.jsプロセス権限で任意のJavaScriptが実行される可能性があります。
脆弱性の対象バージョン
CVE-2026-1245の影響を受けるのは、binary-parser 2.3.0未満です。
パーサ定義を外部入力で動的に組み立てる実装だと、フィールド名やエンコーディング指定などを経由して生成コードが改変され、任意のJavaScript実行につながる可能性があります。
対策バージョン
対策は、binary-parser 2.3.0以降へアップデートすることです。
2.3.0で入力検証や安全化が追加され、この問題に対する緩和策が実装されたとされています
脆弱性の概要
CERT/CCの脆弱性ノート(VU#102648)によると、binary-parser(2.3.0未満)はFunctionコンストラクタを用いて実行時にJavaScriptコードを生成します。その際、パーサ定義のフィールド名や、文字列パースで指定するエンコーディング名などの値が、検証・無害化されないまま生成コードへ組み込まれるケースがありました。
このため、アプリケーション側が外部入力(ユーザー入力や外部データ)を使ってパーサ定義を動的に組み立てていると、生成コードが改変され、攻撃者が意図したJavaScriptが実行される可能性があります。
この脆弱性はセキュリティ研究者の Maor Caplan 氏によって特定され、ライブラリ管理者の Keichi Takahashi 氏によって修正されました。
関連記事
2025年版 ホテル・宿泊業を襲う不正アクセスやサイバー攻撃や個人情報漏洩の事例と対策
人気のJavaScript ライブラリ「expr-eval」にリモートコード実行の致命的な脆弱性(CVE-2025-12735)
Cloudflare(クラウドフレア)、ISMAPの登録完了
WhisperPair、数億台のBluetooth 機器に深刻な脆弱性 CVE-2025-36911-Google Fast Pairの不備による盗聴・追跡リスクの実態
ロシア 通商代表部元職員を書類送検-工作機械メーカーの営業秘密漏洩疑い-SVR「ラインX」が関与か
PyPIの人気ライブラリ「requests」に偽装したバックドア ライブラリ「requests-darwin-lite」を確認
EUサイバーレジリエンス法(CRA)とは-対象製品・罰則や日本企業への影響
AngularにXSS(クロスサイトスクリプティング)が可能になる脆弱性(CVE-2026-22610)
Ruby Samlに深刻な認証バイパス 脆弱性(CVE-2025-66567/66568)
