VU#102648: Уязвимость внедрения кода в библиотеке binary-parser
Библиотека binary-parser для Node.js подверглась уязвимости внедрения кода. Эта уязвимость затронула версии до 2.3.0 и могла привести к произвольному выполнению JavaScript. Библиотека позволяла динамически генерировать код JavaScript с использованием конструктора Function. Предоставленные пользователем данные, в частности имена полей и параметры кодирования, включались без надлежащей очистки. Отсутствие очистки позволило злоумышленникам внедрять вредоносный код через специально созданные входные данные. Приложения, использующие недоверенные данные в определениях парсеров, были уязвимы для эксплуатации. Успешная эксплуатация могла предоставить злоумышленникам контроль над процессом Node.js. Поставщик устранил проблему, выпустив версию 2.3.0 с проверкой входных данных. Пользователям следует обновить версию до исправленной, чтобы снизить риск. Разработчикам следует избегать включения недоверенных данных в определения парсеров, чтобы предотвратить подобные уязвимости. Эта уязвимость была обнаружена Маором Капланом и исправлена Кейчи Такахаши.