CVE-2025-12735

Nome do Software Vulnerável e Versões Afetadas Versões do expr-eval anteriores a 3.0.0 Versões do expr-eval-fork anteriores a 3.0.0

Descrição A biblioteca expr-eval, um analisador e avaliador de expressões JavaScript, está suscetível à execução remota de código (RCE). Este problema decorre de uma validação de entrada inadequada ao processar variáveis definidas pelo usuário ou objetos de contexto passados para a função evaluate(). Um atacante pode fornecer um objeto manipulado a esta função, levando à execução de código JavaScript arbitrário dentro do contexto da aplicação. A biblioteca é utilizada em mais de 250 projetos, incluindo calculadoras online, ferramentas de modelagem, aplicações financeiras e sistemas de IA/PNL. Mais de 800.000 projetos baixam o expr-eval semanalmente, e mais de 88.000 baixam o expr-eval-fork semanalmente. A vulnerabilidade permite que um atacante obtenha controle total sobre o sistema afetado. O componente vulnerável é a função Parser.evaluate(), que não valida corretamente o objeto variables de entrada.

Recomendações Atualize para a versão 3.0.0 ou posterior do expr-eval-fork. Atualize para a versão 3.0.0 ou posterior do expr-eval, caso um lançamento incluindo a correção se torne disponível.