Popüler alanda kritik bir güvenlik açığı ifade-değerlendirme NPM’de haftalık 800.000’den fazla indirmeye sahip olan JavaScript kitaplığı, kötü niyetli olarak hazırlanmış girdiler yoluyla uzaktan kod yürütmek için kullanılabilir.
Güvenlik sorunu, güvenlik araştırmacısı Jangwoo Choe tarafından keşfedildi ve CVE-2025-12735 olarak takip ediliyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) göre ciddiyet derecesi 9,8 puanla kritik.
Başlangıçta Matthew Crumley tarafından geliştirilen expr-eval, çalışma zamanında kullanıcı tarafından sağlanan matematiksel ifadelerin güvenli bir şekilde ayrıştırılmasını ve hesaplanmasını gerektiren projelerde kullanılan küçük bir JavaScript ifade ayrıştırıcısı ve değerlendiricisidir.
Örnekler arasında çevrimiçi hesap makineleri, eğitim paketleri, simülasyon araçları, finansal araçlar ve son zamanlarda metin istemlerinden matematiksel ifadeleri ayrıştıran yapay zeka ve doğal dil işleme (NLP) sistemleri yer alıyor.
Carnegie Mellon Yazılım Mühendisliği Enstitüsü’nün (SEI) CERT Koordinasyon Merkezi (CERT-CC), hafta sonu yayınlanan bir danışma belgesinde, güvenlik açığının kütüphanenin kütüphaneye iletilen değişkenleri/bağlam nesnesini doğrulamadaki başarısızlığından kaynaklandığını söylüyor. Ayrıştırıcı.değerlendirme() Bu işlev, saldırganın, değerlendirme sırasında ayrıştırıcının çağırdığı kötü amaçlı işlev nesnelerini sağlamasına olanak tanır.
“Güvenlik açığı, düşmana yazılımın davranışı veya etkilenen sistemdeki tüm bilgilerin tamamen açıklanması üzerinde tam kontrol sağlar” – CERT-CC
CVE-2025-12735, hem 6 yıl önce yayımlanan kararlı sürümle orijinal değerlendirmeyi hem de şu anda aktif olarak bakımı yapılan çatalı etkiliyor. ifade-değerlendirme-çatalNode.js için NPM paket kayıt defterinde haftalık 80.000’den fazla indirme işlemi bulunmaktadır.
Npmjs.com’dan alınan verilere göre kütüphane 250’den fazla projede kullanılıyor. expr-eval-fork 3.0.0 sürümünde CVE-2025-12735 için bir güvenlik düzeltmesi mevcut olup, etkilenen projelerin mümkün olan en kısa sürede buna geçmesi tavsiye edilmektedir.
Yama, değerlendirme için güvenli işlevlerden oluşan bir izin verilenler listesi, özel işlevler için bir kayıt sistemi ve bu kısıtlamalar için geliştirilmiş test kapsamını zorunlu kılar.
Expr-eval kullanıcıları için düzeltmeyi uygulayan bir çekme isteği vardır; ancak proje yöneticilerinin yanıt vermemesi nedeniyle yeni sürümle ne zaman birleştirileceği bilinmiyor.
Etkilenen yazılım geliştiricilerin, kullanıcıların düzeltmeyi alabilmesi için derhal expr-eval-fork v3.0.0’a geçmeleri ve kitaplıklarını yeniden yayınlamaları önerilir.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.