Selon BleepingComputer, une faille critique affecte la bibliothèque JavaScript expr-eval, découverte par le chercheur Jangwoo Choe et suivie sous l’identifiant CVE-2025-12735, avec une sévérité notée 9,8 par la CISA. Le CERT-CC de l’institut SEI de Carnegie Mellon a publié un avertissement soulignant le risque de prise de contrôle total du comportement logiciel et de divulgation complète des informations.

⚠️ Nature de la vulnérabilité: la validation insuffisante de l’objet variables/contexte passé à la fonction Parser.evaluate() permet à un attaquant de fournir des objets fonction malveillants que le parseur invoque lors de l’évaluation, aboutissant à une exécution de code à distance (RCE) via des entrées spécialement conçues.

📦 Produits concernés et impact: la faille touche expr-eval (version stable publiée il y a 6 ans) et son fork activement maintenu expr-eval-fork. La bibliothèque compte plus de 800 000 téléchargements hebdomadaires sur NPM (expr-eval) et 80 000 pour le fork, et est utilisée dans plus de 250 projets, notamment des calculateurs en ligne, outils éducatifs, simulateurs, outils financiers et certains systèmes IA/NLP.

🛠️ Correctif: un correctif est disponible dans expr-eval-fork v3.0.0, avec mise en place d’une liste d’autorisation de fonctions sûres, d’un système d’enregistrement de fonctions personnalisées et d’une couverture de tests améliorée. Pour le paquet expr-eval original, un pull request implémente la correction mais les mainteneurs restent inactifs et il est incertain quand une nouvelle version sera publiée.

➡️ Recommandation rapportée: les développeurs impactés sont invités à migrer immédiatement vers expr-eval-fork v3.0.0 et à republier leurs bibliothèques afin que les utilisateurs reçoivent la correction. Cet article est un article de presse spécialisé visant à informer sur une vulnérabilité et son correctif.

IOCs et TTPs rapportés:

  • IOCs: aucun indicateur de compromission spécifique mentionné.
  • TTPs: injection de fonctions malveillantes via l’objet contexte passé à Parser.evaluate; exploitation par entrée spécialement conçue menant à RCE.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/popular-javascript-library-expr-eval-vulnerable-to-rce-flaw/