独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月23日、binary-parserライブラリにおけるコードインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
binary-parser 2.3.0より前のバージョン
バイナリデータを解析するためのパーサーを作成するJavaScriptライブラリ binary-parser では、Functionコンストラクタを使用して実行時にJavaScriptコードを動的生成する際に、パーサー定義に含まれるフィールド名やエンコーディング名として指定された値が、検証や無害化処理を経ずに生成されたコードに組み込まれ、その結果、攻撃者により任意のJavaScriptコードを実行される可能性がある。
想定される影響として、攻撃者の用意した信頼できない入力値がパーサー定義に用いられると、Node.jsプロセスの権限で任意のJavaScriptコードが実行される可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお本脆弱性は、「binary-parser 2.3.0」で修正されている。
