CVE-2026-1245CVE-2026-1245是存在于binary-parser库中的一个高危代码注入漏洞。该库是一个用于Node.js的二进制数据解析工具,提供了将二进制数据映射为JavaScript对象的便捷方法。漏洞存在于2.3.0版本之前的所有版本中,攻击者可以通过在解析器字段名称或编码参数中注入恶意值来执行任意JavaScript代码。由于该库在生成动态代码时直接使用字符串插值而未进行任何输入清理或过滤,攻击者可以构造特殊的输入使库在运行时执行任意代码。由于该库通常用于处理不可信的二进制数据源(如网络协议解析、文件格式解析等),此漏洞可能被广泛利用,对使用该库的应用造成严重安全威胁。
binary-parser库在设计实现中采用了动态代码生成的策略来提高解析效率。库会将用户定义的字段名称和编码参数直接拼接到生成的JavaScript函数代码中。然而,这种设计存在严重的安全缺陷:当用户提供的字段名称包含特殊字符(如反引号、括号、分号等)时,这些字符会被直接嵌入到生成的代码字符串中,导致代码注入。具体来说,如果攻击者将字段名设置为类似 `${require('child_process').execSync('malicious_command')}` 的值,库会将其原样插入到动态生成的代码中,从而在解析时触发代码执行。攻击者可以利用此漏洞在Node.js进程中执行任意系统命令、读取敏感文件或进行其他恶意操作。由于该漏洞无需任何认证即可利用,且CVSS评分达到6.5(网络中均可利用),因此具有较高的实际威胁性。