Une vulnérabilité critique de la populaire bibliothèque JavaScript expr-eval, avec plus de 800 000 téléchargements hebdomadaires sur NPM, peut être exploitée pour exécuter du code à distance via une saisie malveillante.
Le problème de sécurité a été découvert par le chercheur en sécurité Jangwoo Choe et est suivi sous le numéro CVE-2025-12735. Selon la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, l’indice de gravité est critique, avec un score de 9,8.
Développé à l’origine par Matthew Crumley, expr-eval est un petit analyseur et évaluateur d’expressions JavaScript, utilisé dans les projets qui nécessitent une analyse et un calcul sécurisés des expressions mathématiques fournies par l’utilisateur au moment de l’exécution.
Les exemples incluent des calculatrices en ligne, des suites pédagogiques, des outils de simulation, des outils financiers et, plus récemment, des systèmes d’IA et de traitement du langage naturel (PNL) qui analysent des expressions mathématiques à partir d’invites textuelles.
Dans un avis publié ce week-end, le Centre de coordination CERT (CERT-CC) du Software Engineering Institute (SEI) de Carnegie Mellon indique que la vulnérabilité est due à l’incapacité de la bibliothèque à valider les variables/objets de contexte transmis à l’analyseur.fonction evaluate (), qui permet à un attaquant de fournir des objets de fonction malveillants que l’analyseur appelle lors de l’évaluation.
« La vulnérabilité donne à l’adversaire un contrôle total sur le comportement du logiciel ou une divulgation totale de toutes les informations sur le système affecté » – CERT-CC
CVE-2025 – 12735 affecte à la fois l’expr-eval d’origine, avec une version stable publiée il y a 6 ans, et son fork actuellement activement maintenu, expr-eval-fork, qui compte plus de 80 000 téléchargements hebdomadaires sur le registre des packages NPM pour Node.j. s.
Basé sur les données de npmjs.com, la bibliothèque est utilisée dans plus de 250 projets. Un correctif de sécurité pour CVE-2025-12735 est présent dans la version expr-eval-fork 3.0.0, avec la recommandation que les projets impactés y basculent dès que possible.
Le correctif applique une liste autorisée de fonctions sûres pour l’évaluation, un système d’enregistrement pour les fonctions personnalisées et une couverture de test améliorée pour ces contraintes.
Pour les utilisateurs d’expr-eval, il existe une pull request qui implémente le correctif; cependant, en raison de l’absence de réponse des responsables du projet, on ne sait pas quand il sera fusionné dans une nouvelle version.
Il est conseillé aux développeurs de logiciels concernés de migrer immédiatement vers expr-eval-fork v3.0.0 et de republier leurs bibliothèques afin que les utilisateurs reçoivent le correctif.