Uma vulnerabilidade crítica na popular biblioteca JavaScript expr-eval, que registra mais de 800 mil downloads semanais no NPM, pode ser explorada para executar código remotamente por meio de entradas maliciosas.
A falha, identificada pelo pesquisador de segurança Jangwoo Choe, recebeu a designação
CVE-2025-12735
.
Segundo a Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, a vulnerabilidade é classificada como crítica, com pontuação 9,8.
Desenvolvida originalmente por Matthew Crumley, a expr-eval é uma biblioteca leve para análise e avaliação de expressões matemáticas em JavaScript, amplamente utilizada em projetos que requerem interpretação e cálculo de expressões fornecidas pelo usuário em tempo real.
Entre os usos comuns estão calculadoras online, plataformas educacionais, ferramentas de simulação, soluções financeiras e, mais recentemente, sistemas de inteligência artificial e processamento de linguagem natural (NLP) que interpretam expressões matemáticas a partir de prompts de texto.
Em comunicado divulgado no fim de semana, o CERT Coordination Center (CERT-CC) do Software Engineering Institute (SEI) da Carnegie Mellon explicou que a vulnerabilidade ocorre porque a biblioteca não valida adequadamente o objeto de variáveis/contexto passado para a função Parser.evaluate().
Isso permite que um atacante insira objetos de função maliciosos, que são executados pelo parser durante a avaliação.
O
CVE-2025-12735
afeta tanto a versão original da expr-eval — cuja última versão estável foi lançada há seis anos — quanto o fork mantido atualmente, o expr-eval-fork, que acumula mais de 80 mil downloads semanais no NPM para Node.js.
De acordo com dados do npmjs.com, a biblioteca está presente em mais de 250 projetos.
A correção para a falha está disponível na versão 3.0.0 do expr-eval-fork, e recomenda-se que os projetos afetados façam a migração o quanto antes.
O patch inclui uma allowlist de funções seguras para avaliação, um sistema de registro para funções customizadas e uma cobertura de testes ampliada para garantir essas restrições.
Para usuários da expr-eval original, existe uma pull request que implementa a correção, mas, devido à ausência de resposta dos mantenedores, ainda não há previsão de quando a atualização será lançada oficialmente.
Desenvolvedores impactados são aconselhados a migrar imediatamente para a versão 3.0.0 do expr-eval-fork e republicar suas bibliotecas, assegurando que os usuários recebam a correção e evitando riscos de segurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...