Popüler ikili ayrıştırıcı npm kitaplığında, başarıyla kullanılması durumunda rastgele JavaScript yürütülmesine neden olabilecek bir güvenlik açığı açıklandı.
Şu şekilde izlenen güvenlik açığı: CVE-2026-1245 (CVSS puanı: Yok), modülün sorunu gideren sürüm 2.3.0’dan önceki tüm sürümlerini etkiler. Kusura yönelik yamalar 26 Kasım 2025’te yayınlandı.
İkili ayrıştırıcı, geliştiricilerin ikili verileri ayrıştırmasına olanak tanıyan, JavaScript için yaygın olarak kullanılan bir ayrıştırıcı oluşturucudur. Tamsayılar, kayan nokta değerleri, dizeler ve diziler dahil olmak üzere çok çeşitli ortak veri türlerini destekler. Paket haftalık olarak yaklaşık 13.000 indirme alıyor.
CERT Koordinasyon Merkezi (CERT/CC) tarafından yayınlanan bir tavsiye belgesine göre, güvenlik açığı, JavaScript ayrıştırıcı kodu “İşlev” yapıcısı kullanılarak çalışma zamanında dinamik olarak oluşturulduğunda, ayrıştırıcı alan adları ve kodlama parametreleri gibi kullanıcı tarafından sağlanan değerlerin temizlenmemesiyle ilgilidir.
Npm kütüphanesinin, ayrıştırma mantığını temsil eden bir dize olarak JavaScript kaynak kodunu oluşturduğunu ve onu Function yapıcısını kullanarak derlediğini ve tamponları verimli bir şekilde ayrıştırmak için onu yürütülebilir bir fonksiyon olarak önbelleğe aldığını belirtmekte fayda var.
Ancak CVE-2026-1245’in bir sonucu olarak, saldırgan tarafından kontrol edilen bir giriş, yeterli doğrulama olmaksızın oluşturulan koda ulaşarak uygulamanın güvenilmeyen verileri ayrıştırmasına ve bunun sonucunda rastgele kod yürütülmesine neden olabilir. Yalnızca statik, sabit kodlu ayrıştırıcı tanımlarını kullanan uygulamalar bu kusurdan etkilenmez.
CERT/CC, “Güvenilmeyen girdi kullanarak ayrıştırıcı tanımları oluşturan etkilenen uygulamalarda, bir saldırgan, Node.js sürecinin ayrıcalıklarıyla rastgele JavaScript kodu yürütebilir” dedi. “Bu, dağıtım ortamına bağlı olarak yerel verilere erişime, uygulama mantığının manipülasyonuna veya sistem komutlarının yürütülmesine izin verebilir.”
Güvenlik araştırmacısı Maor Caplan’ın güvenlik açığını keşfetmesi ve raporlamasıyla itibar kazandı. İkili ayrıştırıcı kullanıcılarının sürüm 2.3.0’a yükseltmeleri ve kullanıcı tarafından kontrol edilen değerleri ayrıştırıcı alan adlarına veya kodlama parametrelerine geçirmekten kaçınmaları önerilir.