Faille critique RCE dans la bibliothèque JavaScript expr-eval (CVE-2025-12735)
Selon BleepingComputer, une faille critique affecte la bibliothèque JavaScript expr-eval, découverte par le chercheur Jangwoo Choe et suivie sous l’identifiant CVE-2025-12735, avec une sévérité notée 9,8 par la CISA. Le CERT-CC de l’institut SEI de Carnegie Mellon a publié un avertissement soulignant le risque de prise de contrôle total du comportement logiciel et de divulgation complète des informations. ⚠️ Nature de la vulnérabilité: la validation insuffisante de l’objet variables/contexte passé à la fonction Parser.evaluate() permet à un attaquant de fournir des objets fonction malveillants que le parseur invoque lors de l’évaluation, aboutissant à une exécution de code à distance (RCE) via des entrées spécialement conçues. ...