Biblioteca expr-eval JavaScript vulnerabilă la o eroare RCE

O vulnerabilitate critică în populara bibliotecă expr-eval din JavaScript, cu peste 800.000 de descărcări săptămânale pe NPM, poate fi exploatată pentru a executa cod de la distanță prin intermediul unui input creat în mod malițios.

Potrivit CISA, CVE-2025-12735 prezintă un grad de severitate critic și un scor CvSS de 9.8/10.

Expr-eval este un mic analizor și evaluator de expresii JavaScript, utilizat în proiecte care necesită analizarea și calcularea în siguranță a expresiilor matematice furnizate de utilizatori în timpul rulării.

Conform unor specialiști, vulnerabilitatea se datorează incapacității bibliotecii de a valida variabilele/context object transmis funcției Parser.evaluate(), ceea ce permite unui atacator să furnizeze elemente funcționale rău intenționate pe care analizorul le solicită în timpul evaluării.

CVE-2025-12735 afectează atât expr-eval original, cu o versiune stabilă lansată acum 6 ani, cât și fork-ul său menținut în mod activ în prezent, expr-eval-fork, care are peste 80.000 de descărcări săptămânale în registrul de pachete NPM pentru Node.js.

Conform datelor de pe npmjs.com, biblioteca este utilizată în peste 250 de proiecte. O remediere de securitate pentru CVE-2025-12735 este disponibilă în versiunea 3.0.0 a expr-eval-fork, cu recomandarea ca proiectele afectate să treacă la aceasta cât mai curând posibil.

Patch-ul impune o listă de funcții securizate pentru evaluare, un sistem de înregistrare pentru funcții personalizate și o acoperire îmbunătățită a testelor pentru aceste restricții.

Dezvoltatorii de software afectați sunt sfătuiți să migreze imediat la expr-eval-fork v3.0.0 și să-și republice bibliotecile, astfel încât utilizatorii să primească remedierea.

Sursă: https://www.bleepingcomputer.com/news/security/popular-javascript-library-expr-eval-vulnerable-to-rce-flaw/