Kritiek lek in JavaScript-bibliotheek expr-eval blootgelegd

In dit artikel:

Een ernstig beveiligingslek in de veelgebruikte JavaScript-bibliotheek expr-eval (geregistreerd als CVE-2025-12735, CVSS 9.8) maakt remote code execution mogelijk door onvoldoende validatie van de context die aan de evaluate()-functie wordt doorgegeven. De kwetsbaarheid werd door onderzoeker Jangwoo Choe gemeld bij het Amerikaanse CERT-CC en staat opgenomen in de NVD. Daardoor kan een aanvaller via gemanipuleerde invoer malafide functies laten uitvoeren en in het ergste geval volledige controle over een getroffen applicatie krijgen.

Expr-eval wordt veel ingezet in rekenhulpmiddelen, educatieve en financiële apps en in tooling voor AI/NLP die berekeningen uit tekst moet halen; de npm-registry laat meer dan 800.000 downloads per week en opname in ruim 250 projecten zien. Aanvankelijk betroffen het zowel de oorspronkelijke, al langere tijd ononderhouden repo als de fork, maar ontwikkelaars van expr-eval-fork hebben inmiddels een beveiligde release (versie 3.0.0) uitgebracht. Deze update introduceert een allowlist voor functies, een systeem voor geregistreerde custom functies en uitgebreidere tests om te voorkomen dat externe invoer de uitvoerbare context kan beïnvloeden. Voor de originele expr-eval bestaat alleen een niet-geverifieerde pull request met een patch; het is onduidelijk of die ooit officieel wordt opgenomen.

Organisaties en ontwikkelaars die expr-eval gebruiken wordt dringend aangeraden hun afhankelijkheden te controleren en zo snel mogelijk te upgraden naar expr-eval-fork ≥ 3.0.0. Verder is het verstandig dependency-scanners en security-audits te draaien, versievergrendeling toe te passen en third-party code kritisch te controleren om soortgelijke risico’s te beperken.