- Expr-eval’deki CVE-2025-12735, güvenli olmayan giriş değerlendirmesi yoluyla uzaktan kod yürütülmesine izin veriyor
- Savunmasız sürümler ≤2.0.2; 2.0.3’te yamalandı ve expr-eval-fork 3.0.0’da çatallandı
- Geliştiriciler değişkenleri temizlemeli ve değerlendirme() çağrılarında güvenilmeyen girdilerden kaçınmalıdır
Yaygın olarak benimsenen bir JavaScript kitaplığının, tehdit aktörlerinin uzaktan kötü amaçlı kod yürütmesine olanak verebilecek kritik bir güvenlik açığı taşıdığı bulundu.
Güvenlik araştırmacısı Jangwoo Choe, NPM’de haftalık 800.000’den fazla indirmeye sahip bir kitaplık olan expr-eval’de “yetersiz giriş doğrulama” hatası keşfetti. Dizelerden matematiksel ifadeleri ayrıştırıp değerlendirir ve geliştiricilerin kullanıcı tarafından girilen formülleri güvenli bir şekilde hesaplamasına olanak tanır. Komut dosyası genellikle web uygulamalarında hesap makineleri, veri analizi araçları ve ifade tabanlı mantık için kullanılır.
Güvenlik açığına 9,8/10 (kritik) önem puanı verildi ve şu anda CVE-2025-12735 olarak izleniyor. CERT/CC ve sektör takipçileri, hatayı yüksek etkili olarak sınıflandırıyor: uzaktan yararlanılabilir olduğunu, hiçbir ayrıcalık veya kullanıcı etkileşimi gerektirmediğini ve tam gizlilik, bütünlük ve kullanılabilirlik riskine yol açabileceğini iddia ediyor.
Düzeltmeler ve hafifletmeler
“Bu yetenek enjekte etmek için kullanılabilir kötü amaçlı kod sistem düzeyinde komutları çalıştıran, potansiyel olarak hassas yerel kaynaklara erişen veya verileri sızdıran” bir CERT uyarı belgesinde şöyle yazıyor: “Bu sorun, Çekme İsteği #288 aracılığıyla düzeltildi.”
Sorunun temel nedeni, kitaplığın işlev nesnelerinin ve diğer tehlikeli değerlerin değerlendirme bağlamına girmesine izin vermesinden kaynaklanmaktadır; böylece değişkenler nesnesini etkileyebilen bir saldırgan, sanal alandan kaçan ve rastgele JavaScript çalıştıran işlevler sağlayabilir.
Kitaplığın 2.0.2’ye kadar olan tüm sürümlerinin güvenlik açığına sahip olduğu ve 2.0.3 ve sonraki sürümlerde bir düzeltmenin mevcut olduğu söylendi.
Kullanıcılar ayrıca aktif olarak bakımı yapılan fork expr-eval-fork sürüm 3.0.0’a geçerek riski azaltabilirler. Uygulamaları, kullanıcı tarafından sağlanan ve güvenilmeyen girdilerde değerlendirme() çağrısı yapan kullanıcılar, güvenilmeyen verileri beslemeyi de derhal durdurmalı ve değişken nesnelerini sarmalamalı veya sterilize etmelidir, böylece işlevler ve prototip değişiklik alanları eklenemez.
Kütüphane yaygın bir popülerliğe sahiptir. Npmjs.com’a göre şu anda 250’den fazla projede kullanılıyor.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.