Node.js ikili ayrıştırıcı kitaplığında, 2.3.0’dan önceki tüm sürümleri etkileyen kritik bir kod ekleme güvenlik açığı belirlendi.
Bu kusur, ayrıştırıcı tanımları oluşturmak için güvenilmeyen giriş kullanılması durumunda saldırganların rastgele JavaScript kodu yürütmesine olanak tanıyor ve potansiyel olarak uygulama bütünlüğünü ve sistem güvenliğini tehlikeye atıyor.
Verimli ikili ayrıştırıcıların basit, bildirimsel bir şekilde yazılmasını kolaylaştırmak için tasarlanan ikili ayrıştırıcı kitaplığı, tehlikeli bir kod oluşturma kusuru içerir.
Kitaplık, İşlev yapıcısını kullanarak çalışma zamanında dinamik olarak JavaScript kodu oluşturur.
Kritik olarak, kullanıcı tarafından sağlanan değerler, özellikle ayrıştırıcı alan adları ve kodlama parametreleri, doğrulama veya arındırma olmaksızın doğrudan oluşturulan koda dahil edilir.
| Alan | Değer |
|---|---|
| CVE | CVE-2026-1245 |
| Etkilenen Yazılım | ikili ayrıştırıcı (sürümler < 2.3.0) |
| Güvenlik Açığı Türü | Kod Ekleme |
| Şiddet | Kritik |
Güvenlik açığı (CVE-2026-1245), güvenli olmayan kod oluşturma uygulamalarından kaynaklanmaktadır.
Uygulamalar, güvenilmeyen veya dışarıdan sağlanan verileri ayrıştırıcı alan adlarına veya kodlama parametrelerine aktardığında, temizlenmemiş değerler çalışma zamanı sırasında oluşturulan JavaScript kodunu değiştirebilir.
Bu manipülasyon, saldırgan tarafından kontrol edilen kodun Node.js işleminin tüm ayrıcalıklarıyla yürütülmesine olanak tanır. Yalnızca statik, sabit kodlu ayrıştırıcı tanımları kullanan uygulamaların bu güvenlik açığından etkilenmediğini unutmamak önemlidir.
Risk yalnızca dinamik ayrıştırıcı tanımları harici veya güvenilmeyen giriş kaynakları kullanılarak oluşturulduğunda ortaya çıkar.
Başarılı bir şekilde yararlanma, saldırganların Node.js süreci bağlamında rastgele JavaScript kodu yürütmesine olanak tanıyabilir.
Dağıtım ortamına ve uygulama ayrıcalıklarına bağlı olarak bu, yerel verilere yetkisiz erişimi ve uygulama mantığının manipülasyonunu kolaylaştırabilir.
Ağ bağlantılı altyapı içerisinde sistem komutlarının veya yanal hareketin yürütülmesi. Üçüncü taraf verilerini işleyen kurumsal uygulamalar daha yüksek riskle karşı karşıyadır.
Satıcı, güvenli olmayan kod oluşturmaya yönelik giriş doğrulama ve azaltımları uygulayan 2.3.0 sürümünü yayımladı.
CERT/CC’ye göre acil eylem önerilir:
- İkili ayrıştırıcıyı 2.3.0 veya sonraki bir sürüme yükseltin.
- Ayrıştırıcı tanımlarında dış kaynaklı verilerin herhangi bir şekilde kullanılmasına yönelik uygulamaları denetleyin
Herhangi bir ayrıştırıcı yapılandırma parametresi için katı giriş doğrulaması uygulayın. Kullanıcı tarafından kontrol edilen değerleri ayrıştırıcı alan adlarına veya kodlama parametrelerine geçirmekten kaçının.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
