Giriş
Popüler binary-parser npm kütüphanesinde ciddi bir güvenlik açığı olduğu tespit edilmiştir. Bu açık, etkili bir şekilde kötüye kullanıldığında rastgele JavaScript kodunun çalışmasına yol açabilir.
Saldırı Nasıl Çalışıyor?
Vulnerability, CVE-2026-1245 (CVSS puanı: N/A) olarak takip edilmektedir ve bu modülün 2.3.0 öncesindeki tüm versiyonlarını etkilemektedir. Söz konusu açık, 26 Kasım 2025 tarihinde yayınlanan yamanızla çözülmüştür. Kütüphane, kullanıcıdan gelen değerlerin uygun bir şekilde temizlenmemesi nedeniyle hassasiyet gösteriyor. Özellikle, parser alan adları ve kodlama parametreleri gibi kullanıcı girişi, dinamik olarak JavaScript parser kodu oluşturulurken yeterince kontrol edilmemektedir.
- Binary-parser, JavaScript için bir parser oluşturucu olarak binari verileri parse etmek için kullanılmaktadır.
- Bu kütüphane, tam sayılar, kesirli değerler, dizeler ve diziler gibi çok çeşitli veri türlerini desteklemektedir.
- Paket, haftada yaklaşık 13,000 indirme almaktadır.
Etkilenen Sistemler
Etkilenen uygulamalar, kullanıcıdan gelen güvenilmeyen girdi ile parser tanımları oluşturan uygulamalardır. Statik ve sabit kodlu parser tanımları kullanan uygulamalar ise bu hatadan etkilenmemektedir.
Çözüm ve Korunma
Kullanıcıların binary-parser kütüphanesinin 2.3.0 versiyonuna güncellemeleri şiddetle önerilmektedir. Ayrıca, kullanıcılar tarafından kontrol edilen değerlerin parser alan adları veya kodlama parametrelerine iletilmemesi gerektiği konusunda dikkatli olmalıdırlar.
- Binary-parser kütüphanesini güncelleyin.
- Kullanıcıdan alınan verilerin doğrulama ve temizleme işlemlerini uygulayın.
Aksiyon
Derhal binary-parser versiyonunuzu 2.3.0 yaparak güvenliğinizi artırın. Kullanıcıdan gelen verilerin her zaman kontrol edilmesi gerektiğini unutmayın. Bu önlemler, sistemlerinizi muhtemel saldırılara karşı koruma konusunda size yardımcı olacaktır.
