أصدر مركز تنسيق الاستجابة للطوارئ (CERT/CC) تحذيراً بشأن ثغرة خطيرة في مكتبة binary-parser الخاصة بمنصة npm، والتي تُستخدم على نطاق واسع في مشاريع تعتمد على Node.js. الثغرة، التي تحمل الرمز CVE-2026-1245، تؤثر على جميع الإصدارات السابقة للإصدار 2.3.0، وهو الإصدار الذي تم فيه إصلاح المشكلة. وقد أُطلقت التحديثات الأمنية في 26 نوفمبر 2025، بعد أن اكتشف الباحث الأمني ماور كابلان الخلل وأبلغ عنه رسمياً.
المكتبة المعروفة بقدرتها على بناء محللات للبيانات الثنائية تدعم أنواعاً متعددة من البيانات مثل الأعداد الصحيحة، القيم العشرية، السلاسل النصية والمصفوفات، وتُستخدم بكثافة من قبل المطورين حيث يبلغ معدل تحميلها الأسبوعي نحو 13 ألف مرة. هذا الانتشار الواسع جعل الثغرة ذات خطورة مضاعفة، إذ يمكن استغلالها لتنفيذ تعليمات برمجية عشوائية داخل بيئة التطبيق.
آلية الاستغلال وخطورة التنفيذ
تكمن المشكلة في أن المكتبة تقوم ببناء شيفرة جافاسكريبت كمصدر نصي يمثل منطق التحليل، ثم تُحوّل هذا النص إلى دالة قابلة للتنفيذ باستخدام Function constructor. عند غياب آليات التحقق والتنقية من القيم المدخلة، يمكن أن تتسلل مدخلات خبيثة إلى الشيفرة المولدة، ما يسمح بتنفيذ أوامر غير موثوقة.
هذا يعني أن التطبيقات التي تعتمد على تعريفات محللات ديناميكية باستخدام مدخلات غير موثوقة تصبح عرضة للهجوم، حيث يستطيع المهاجم تنفيذ تعليمات جافاسكريبت بامتيازات عملية Node.js نفسها. وبذلك يمكنه الوصول إلى بيانات محلية، التلاعب بمنطق التطبيق، أو حتى تنفيذ أوامر نظامية تبعاً لبيئة النشر. أما التطبيقات التي تستخدم تعريفات ثابتة ومشفرة مسبقاً فلا تتأثر بهذه الثغرة.
خلفيات تقنية وسياق أمني
من الناحية التقنية، يُعتبر استخدام Function constructor في بناء الشيفرات ممارسة محفوفة بالمخاطر، إذ يفتح الباب أمام هجمات Code Injection إذا لم تُطبق سياسات صارمة للتحقق من المدخلات. هذه الثغرة تُعيد إلى الأذهان حوادث مشابهة في مكتبات أخرى ضمن منظومة npm، حيث أدى الاعتماد على مدخلات المستخدم دون فلترة إلى اختراقات واسعة النطاق.
كما أن توقيت اكتشاف الثغرة يأتي في سياق متزايد من التحذيرات حول أمن البرمجيات مفتوحة المصدر، إذ تعتمد آلاف الشركات على مكتبات npm دون مراجعة دقيقة للكود. هذا يبرز الحاجة إلى تعزيز آليات التدقيق الأمني، وتبني ممارسات مثل Static Analysis وCode Review قبل دمج المكتبات في المشاريع الإنتاجية.
توصيات للمطورين والمستخدمين
ينصح الخبراء جميع مستخدمي مكتبة binary-parser بالترقية الفورية إلى الإصدار 2.3.0، وتجنب تمرير قيم يتحكم بها المستخدم إلى أسماء الحقول أو معاملات الترميز داخل المحلل. كما يُوصى بتطبيق سياسات صارمة لإدارة التبعيات البرمجية، ومتابعة نشرات الثغرات الأمنية بشكل دوري لضمان حماية التطبيقات من الاستغلال.
