Populární JavaScriptová knihovna expr-eval, která se na NPM stahuje více než 800 000× týdně, se dostala do hledáčku kvůli kritické zranitelnosti umožňující vzdálené spuštění kódu (RCE). Chyba je vedená jako CVE-2025-12735, objevil ji bezpečnostní výzkumník Jangwoo Choe a CISA jí přisuzuje kritickou závažnost se skóre 9,8. Problém je o to citlivější, že expr-eval se často používá právě tam, kde aplikace počítají „uživatelské“ výrazy za běhu – od online kalkulaček a vzdělávacích nástrojů přes simulace a finance až po novější AI/NLP scénáře, které tahají matematické výrazy přímo z textových promptů.
Podle CERT-CC je jádro potíží v tom, že knihovna dostatečně neověřuje objekt proměnných/kontextu předaný do funkce Parser.evaluate(). Útočník tak může do tohoto objektu propašovat škodlivé funkční objekty, které parser během vyhodnocování zavolá, a tím získat kontrolu nad tím, co se na serveru skutečně vykoná. „Zranitelnost dává protivníkovi úplnou kontrolu nad chováním softwaru nebo úplné odhalení všech informací v postiženém systému,“ uvádí CERT-CC.
CVE-2025-12735 se týká jak původního expr-eval (jeho stabilní vydání je staré zhruba šest let), tak i aktivně udržovaného forku expr-eval-fork, který má kolem 80 000 týdenních stažení. Oprava už je dostupná právě ve verzi expr-eval-fork 3.0.0 a zpřísňuje pravidla vyhodnocování – mimo jiné přes whitelist bezpečných funkcí a systém registrace vlastních funkcí. U původního projektu existuje návrh změny (pull request), ale kvůli nereagujícím správcům zatím není jasné, kdy a zda vyjde opravená verze.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
