Se ha revelado una vulnerabilidad de seguridad en el popular biblioteca npm de analizador binario que, si se explota con éxito, podría resultar en la ejecución de JavaScript arbitrario.

La vulnerabilidad, rastreada como CVE-2026-1245 (puntuación CVSS: N/A), afecta a todas las versiones del módulo anteriores a versión 2.3.0 , que aborda el tema. Los parches para esta falla se publicaron el 26 de noviembre de 2025.

Binary-parser es un generador de analizadores ampliamente utilizado para JavaScript que permite a los desarrolladores analizar datos binarios. Es compatible con una amplia gama de tipos de datos comunes, incluidos números enteros, valores de punto flotante, cadenas y matrices. El paquete atrae aproximadamente 13.000 descargas semanalmente.

Según un consultivo publicada por el Centro de Coordinación del CERT (CERT/CC), la vulnerabilidad tiene que ver con un falta de sanitización de valores proporcionados por el usuario, como los nombres de los campos del analizador y los parámetros de codificación, cuando el código del analizador JavaScript se genera dinámicamente en tiempo de ejecución mediante el constructor «Function».

Vale la pena señalar que la biblioteca npm crea el código fuente de JavaScript como una cadena que representa la lógica de análisis y lo compila con el constructor Function y lo almacena en caché como una función ejecutable para analizar los búferes de manera eficiente.

Sin embargo, como resultado del CVE-2026-1245, una entrada controlada por un atacante podría llegar al código generado sin la validación adecuada, lo que provocaría que la aplicación analizara datos no confiables y, por lo tanto, la ejecución de código arbitrario. La falla no afecta a las aplicaciones que utilizan únicamente definiciones de analizadores estáticas y codificadas de forma rígida.

«En las aplicaciones afectadas que crean definiciones de analizadores utilizando entradas que no son de confianza, un atacante puede ejecutar código JavaScript arbitrario con los privilegios del proceso Node.js», afirma CERT/CC. «Esto podría permitir el acceso a los datos locales, la manipulación de la lógica de la aplicación o la ejecución de comandos del sistema, según el entorno de implementación».

Al investigador de seguridad Maor Caplan se le atribuye el descubrimiento y la denuncia de la vulnerabilidad. Se recomienda a los usuarios de binary-parser que actualicen a la versión 2.3.0 y eviten pasar valores controlados por el usuario a los nombres de campo o parámetros de codificación del analizador.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.