Vulnerabilidade crítica no npm binary-parser permite execução de JavaScript

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Uma vulnerabilidade de segurança foi identificada na popular biblioteca npm binary-parser, que, se explorada, pode resultar na execução de código JavaScript arbitrário. A falha, registrada como CVE-2026-1245, afeta todas as versões do módulo anteriores à versão 2.3.0, que já possui um patch disponível desde 26 de novembro de 2025. O binary-parser é amplamente utilizado para construir parsers em JavaScript, permitindo que desenvolvedores interpretem dados binários de forma eficiente. A vulnerabilidade está relacionada à falta de sanitização de valores fornecidos pelo usuário, como nomes de campos do parser e parâmetros de codificação, quando o código do parser é gerado dinamicamente em tempo de execução. Isso pode permitir que um atacante insira dados não confiáveis, levando à execução de código malicioso com os privilégios do processo Node.js. Aplicações que utilizam definições de parser estáticas não são afetadas. O pesquisador de segurança Maor Caplan foi responsável por descobrir e relatar a vulnerabilidade. Recomenda-se que os usuários do binary-parser atualizem para a versão 2.3.0 e evitem passar valores controlados pelo usuário para os nomes dos campos do parser.

Fonte: https://thehackernews.com/2026/01/certcc-warns-binary-parser-bug-allows.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
21/01/2026 • Risco: ALTO
VULNERABILIDADE

Vulnerabilidade crítica no npm binary-parser permite execução de JavaScript

RESUMO EXECUTIVO
A vulnerabilidade CVE-2026-1245 na biblioteca binary-parser permite a execução de código JavaScript arbitrário, afetando aplicações que não utilizam definições de parser estáticas. A atualização para a versão 2.3.0 é crucial para mitigar riscos associados.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos associados a incidentes de segurança e recuperação de dados.
Operacional
Execução de código arbitrário com privilégios do processo Node.js.
Setores vulneráveis
['Tecnologia da informação', 'Desenvolvimento de software', 'Setores que utilizam Node.js.']

📊 INDICADORES CHAVE

A biblioteca binary-parser tem aproximadamente 13.000 downloads semanais. Indicador
A vulnerabilidade afeta todas as versões anteriores à 2.3.0. Contexto BR
O CVSS score não foi atribuído. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se a biblioteca binary-parser está em uso e qual versão está instalada.
2 Atualizar para a versão 2.3.0 do binary-parser imediatamente.
3 Monitorar logs de aplicações para detectar possíveis tentativas de exploração.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de execução de código malicioso em aplicações críticas, o que pode comprometer dados sensíveis e a integridade do sistema.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD em caso de vazamento de dados.
Status
patch_disponivel
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).