CERT/CC предупреждает об ошибке binary-parser, позволяющей выполнение кода на уровне привилегий в Node.js
22.01.2026
17518
Уязвимость в пакете npm binary-parser до версии 2.3.0 позволяет злоумышленникам выполнять произвольный JavaScript через непроверенный ввод парсера.
🚨 КРИТИЧЕСКОЕ ПРЕДУПРЕЖДЕНИЕ: Пакет npm binary-parser для Node.js имеет серьёзную уязвимость безопасности
CERT/CC только что выпустил серьёзное предупреждение об опасной уязвимости в пакете npm binary-parser, которая может позволить злоумышленникам выполнять произвольный код JavaScript на уровне привилегий. Если вы используете Node.js с этим пакетом, вам нужно исправить это СЕЙЧАС.
Уязвимость затрагивает все версии binary-parser до 2.3.0 и позволяет злоумышленникам внедрять и выполнять вредоносный JavaScript через непроверенный ввод парсера. Это не просто теоретическая уязвимость — это реальное удалённое выполнение кода, которое может скомпрометировать целые системы.
Пакет binary-parser широко используется в экосистеме Node.js для разбора бинарных структур данных. С более чем 1,6 миллионами загрузок в неделю эта уязвимость имеет огромный потенциальный охват для бесчисленных приложений и сервисов.
- • Затронутые версии: Все версии до 2.3.0
- • Тип уязвимости: Удалённое выполнение кода (RCE)
- • Вектор атаки: Непроверенный ввод парсера
- • Влияние: Выполнение JavaScript на уровне привилегий
- • Пакет: npm пакет binary-parser
- • Еженедельные загрузки: 1,6+ миллиона
Исследователи безопасности подтвердили, что уязвимость позволяет злоумышленникам обходить проверку ввода и выполнять произвольный код с теми же привилегиями, что и процесс Node.js. Это означает, что если ваше приложение работает с повышенными правами, то и код злоумышленника будет выполняться с ними.
Уязвимость в пакете npm binary-parser до версии 2.3.0 позволяет злоумышленникам выполнять произвольный JavaScript через непроверенный ввод парсера.
Координационный центр CERT (CERT/CC) выпустил официальное предупреждение, призывающее всех разработчиков немедленно обновить binary-parser до версии 2.3.0 или выше. Исправление правильно проверяет ввод и предотвращает уязвимость внедрения кода.
- • ТРЕБУЕТСЯ НЕМЕДЛЕННОЕ ДЕЙСТВИЕ:
- • 1. Проверьте ваш package.json на наличие binary-parser
- • 2. Если версия < 2.3.0, обновите немедленно
- • 3. Запустите npm update binary-parser
- • 4. Тщательно протестируйте ваше приложение
- • 5. Отслеживайте любую подозрительную активность
Эта уязвимость подчёркивает критическую важность проверки ввода в библиотеках разбора. Разработчики binary-parser исправили проблему в версии 2.3.0, но окно уязвимости может быть значительным, учитывая, насколько широко используется этот пакет.
Команды безопасности должны сканировать свои кодовые базы и зависимости на наличие уязвимых версий. Сочетание высокой популярности (1,6 млн+ загрузок в неделю) и серьёзности уязвимости (RCE на уровне привилегий) делает это одной из самых критичных уязвимостей npm, о которых сообщалось в этом году.
#Node.js безопасность#npm пакеты#RCE уязвимости#кибербезопасность#уязвимости CVE
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
