Selon BleepingComputer, une faille critique affecte la bibliothèque JavaScript populaire expr-eval distribuée sur NPM, ouvrant la voie à une exécution de code à distance (RCE).
Contexte
Une vulnérabilité critique (CVE-2025-12735, score CVSS 9.8) a été découverte dans la bibliothèque JavaScript expr-eval, téléchargée plus de 800 000 fois par semaine sur NPM et largement utilisée pour parser et évaluer des expressions mathématiques fournies par l’utilisateur. Elle est intégrée dans des centaines de projets, dont des outils éducatifs, financiers, scientifiques et des systèmes IA/NLP.
Faits clés
- Le chercheur Jangwoo Choe a identifié que la fonction
Parser.evaluate()ne valide pas correctement l’objet de contexte/variables. - Un attaquant peut injecter des fonctions malicieuses dans le contexte, qui seront exécutées pendant l’évaluation.
- Impact : exécution de code à distance (RCE) avec contrôle total du comportement du logiciel ou accès complet aux données.
- La faille affecte :
- expr-eval (version stable vieille de 6 ans, plus maintenue),
- expr-eval-fork, activement maintenu, et téléchargé 80 000 fois/semaine.
- Plus de 250 projets déclarés dépendants sur npm.
Conséquences
- Tout logiciel utilisant expr-eval pour traiter des entrées utilisateurs non fiables est vulnérable à une compromission complète.
- Les applications peuvent être détournées pour exécuter du code arbitraire, voler ou modifier des données, ou compromettre l’hôte applicatif.
- Les systèmes IA/NLP qui analysent des expressions mathématiques dans des prompts pourraient également être exploités via des payloads cachés.
Enjeux de sécurité
- Le CERT-CC précise que l’attaque donne à l’adversaire un contrôle total du comportement ou un accès complet à l’information.
- L’absence de maintenance de la version originale expr-eval pose un risque durable pour les projets qui ne migrent pas.
- La vulnérabilité se situe dans un composant de parsing, donc très exploitable via des vecteurs simples (formulaires, API, prompts IA, interfaces web).
Situation actuelle
- Le correctif est disponible uniquement dans expr-eval-fork v3.0.0, qui introduit :
- une allowlist de fonctions sûres,
- un registre de fonctions custom,
- une meilleure couverture de tests.
- Un pull request existe pour corriger expr-eval, mais les mainteneurs étant inactifs, aucune date de publication n’est prévue.
- Les développeurs sont fortement encouragés à migrer vers expr-eval-fork v3.0.0 et à republier leurs packages pour distribuer la version corrigée.
Cet article est un contenu de vulnérabilité visant à informer sur une faille critique et ses implications potentielles.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/popular-javascript-library-expr-eval-vulnerable-to-rce-flaw/