요약 (Summary)

• 사건/이슈 개요: binary-parser npm 라이브러리에 보안 취약점이 발견되어, 공격자가 임의의 자바스크립트 코드를 실행할 수 있는 취약점이 발견되었다.
• 영향 대상(제품/서비스): binary-parser npm 라이브러리
• 위협/취약점 내용: 사용자 제공된 값의 미인증이 parser field names와 encoding parameters에 영향을 미쳐, 공격자가 임의의 자바스크립트 코드를 실행할 수 있다.
• 위험도: High
• 대응/시사점: binary-parser의 버전 2.3.0 이상으로 업그레이드하고, parser field names나 encoding parameters에 사용자 제어된 값을 전달하지 않도록 한다.

전체 번역 (Full Translation)

CERT/CC는 binary-parser 버그로 Node.js 권한 수준의 코드 실행이 가능하다고 경고합니다.

Ravie Lakshmanan, 2026년 1월 21일

오픈 소스 / 취약점

popular binary-parser npm 라이브러리에 보안 취약점이 발견되어, 공격자가 임의의 자바스크립트 코드를 실행할 수 있는 취약점이 발견되었다. 이 취약점은 CVE-2026-1245로 추적되며, CVSS 점수는 N/A입니다. 이 문제를 해결하기 위해 binary-parser의 버전 2.3.0이 출시되었으며, 이 버전은 취약점을 해결합니다. 이 취약점을 해결하기 위한 패치는 2025년 11월 26일에 출시되었습니다.

binary-parser는 자바스크립트에서 바이너리 데이터를 파싱하는 데 사용되는 인기 있는 빌더입니다. 개발자들은 바이너리 데이터를 파싱하는 데 사용할 수 있는 다양한 데이터 타입을 지원합니다. 이 패키지는 주간 약 13,000회 다운로드됩니다.

CERT/CC의 advisory에 따르면, 취약점은 사용자 제공된 값의 미인증으로 인해 발생합니다. 이 값은 parser field names와 encoding parameters에 영향을 미치며, 자바스크립트 파서 코드가 동적으로 생성될 때 사용됩니다. 이 코드는 런타임에 Function constructor를 사용하여 동적으로 생성되고, 캐시되며, 버퍼를 효율적으로 파싱하기 위해 사용됩니다.

그러나 CVE-2026-1245로 인해 공격자가 제어하는 입력이 생성된 코드에 도달할 수 있으며, 이 입력은 충분한 검증을 받지 못합니다. 이로 인해 애플리케이션은 신뢰할 수 없는 데이터를 파싱하고, 임의의 코드를 실행합니다. 정적, 하드 코딩된 파서 정의만 사용하는 애플리케이션은 이 취약점에 영향을 받지 않습니다.

CERT/CC는 다음과 같이 설명합니다. "이 취약점으로 인해 공격자가 Node.js 프로세스의 권한을 가진 임의의 자바스크립트 코드를 실행할 수 있습니다. 이로 인해 로컬 데이터에 접근하거나, 애플리케이션 로직을 조작하거나, 시스템 명령을 실행할 수 있습니다. 이 취약점은 배포 환경에 따라 달라집니다."

보안 연구자 Maor Caplan이 취약점을 발견하고 보고했습니다. binary-parser 사용자는 버전 2.3.0으로 업그레이드하고, parser field names나 encoding parameters에 사용자 제어된 값을 전달하지 않도록 해야 합니다.