Μια κρίσιμη ευπάθεια στο λαϊκό expr-eval Η βιβλιοθήκη JavaScript, με περισσότερες από 800.000 εβδομαδιαίες λήψεις στο NPM, μπορεί να αξιοποιηθεί για την εκτέλεση κώδικα εξ αποστάσεως μέσω εισόδου που έχει δημιουργηθεί με κακόβουλο τρόπο.
Το ζήτημα ασφαλείας ανακαλύφθηκε από τον ερευνητή ασφαλείας Jangwoo Choe και παρακολουθείται ως CVE-2025-12735. Σύμφωνα με την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), η βαθμολογία σοβαρότητας είναι κρίσιμη, με βαθμολογία 9,8.
Αναπτύχθηκε αρχικά από τον Matthew Crumley, expr-eval είναι ένας μικρός αναλυτής και αξιολογητής εκφράσεων JavaScript, που χρησιμοποιείται σε έργα που απαιτούν ασφαλή ανάλυση και υπολογισμό των μαθηματικών παραστάσεων που παρέχονται από το χρήστη κατά τη διάρκεια εκτέλεσης.
Παραδείγματα περιλαμβάνουν ηλεκτρονικές αριθμομηχανές, εκπαιδευτικές σουίτες, εργαλεία προσομοίωσης, οικονομικά εργαλεία και, πιο πρόσφατα, συστήματα τεχνητής νοημοσύνης και επεξεργασίας φυσικής γλώσσας (NLP) που αναλύουν μαθηματικές εκφράσεις από μηνύματα προτροπής κειμένου.
Σε μια συμβουλή το Σαββατοκύριακο, το Κέντρο Συντονισμού CERT (CERT-CC) για το Ινστιτούτο Μηχανικών Λογισμικού του Carnegie Mellon (SEI) αναφέρει ότι η ευπάθεια οφείλεται στην αποτυχία της βιβλιοθήκης να επικυρώσει τις μεταβλητές/αντικείμενο περιβάλλοντος που μεταβιβάζονται στο Parser.evaluate() συνάρτηση, η οποία επιτρέπει σε έναν εισβολέα να παρέχει αντικείμενα κακόβουλης λειτουργίας που ο αναλυτής καλεί κατά την αξιολόγηση.
“Η ευπάθεια δίνει στον αντίπαλο απόλυτο έλεγχο της συμπεριφοράς του λογισμικού ή την πλήρη αποκάλυψη όλων των πληροφοριών στο επηρεαζόμενο σύστημα” – CERT-CC
Το CVE-2025-12735 επηρεάζει τόσο το αρχικό expr-eval, με μια σταθερή έκδοση που κυκλοφόρησε πριν από 6 χρόνια, όσο και το διατηρούμενο ενεργά πιρούνι του, expr-eval-forkτο οποίο έχει πάνω από 80.000 εβδομαδιαίες λήψεις στο μητρώο πακέτων NPM για το Node.js.
Με βάση δεδομένα από το npmjs.com, η βιβλιοθήκη χρησιμοποιείται σε περισσότερα από 250 έργα. Μια επιδιόρθωση ασφαλείας για το CVE-2025-12735 υπάρχει στο expr-eval-fork έκδοση 3.0.0με τη σύσταση ότι τα επηρεαζόμενα έργα μεταβούν σε αυτό το συντομότερο δυνατό.
Η ενημερωμένη έκδοση κώδικα επιβάλλει μια λίστα επιτρεπόμενων ασφαλών λειτουργιών για αξιολόγηση, ένα σύστημα εγγραφής για προσαρμοσμένες λειτουργίες και βελτιωμένη κάλυψη δοκιμής για αυτούς τους περιορισμούς.
Για τους χρήστες του expr-eval, υπάρχει α αίτημα έλξης που υλοποιεί την επιδιόρθωση? Ωστόσο, επειδή οι συντηρητές του έργου δεν ανταποκρίνονται, είναι άγνωστο πότε θα συγχωνευθεί σε μια νέα έκδοση.
Συνιστάται στους προγραμματιστές λογισμικού που επηρεάζονται να μεταβούν αμέσως στο expr-eval-fork v3.0.0 και να αναδημοσιεύσουν τις βιβλιοθήκες τους, ώστε οι χρήστες να λάβουν την επιδιόρθωση.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
