Yaygın olarak kullanılan npm paketi expr-eval’de, potansiyel olarak yapay zeka ve doğal dil işleme uygulamalarını uzaktan kod yürütme saldırılarına maruz bırakan kritik bir güvenlik açığı keşfedildi.
CVE-2025-12735 olarak takip edilen güvenlik açığı, saldırganların kötü niyetli olarak hazırlanmış girdiler yoluyla rastgele sistem komutları yürütmesine olanak tanıyor.
expr-eval kitaplığı, matematiksel ifadeleri güvenli bir şekilde ayrıştırmak ve değerlendirmek için tasarlanmış bir JavaScript aracıdır ve JavaScript’in yerel eval() işlevine daha güvenli bir alternatif olarak hizmet eder.
Popüler LangChain çerçevesinin bir JavaScript uygulaması olan oplangchain de dahil olmak üzere 250’den fazla bağımlı paketle bu güvenlik açığının AI ve NLP ekosistemi üzerinde önemli etkileri vardır.
NPM Kitaplığı Güvenlik Açığı
Carnegie Mellon Üniversitesi araştırmacıları, saldırganların ayrıştırıcının bağlam nesnesi içinde rastgele işlevler tanımlayabildiğini ve sistem düzeyinde komutları yürüten kötü amaçlı kodların enjeksiyonuna olanak sağladığını keşfetti.
Bu güvenlik açığı, SSVC çerçevesi altında Toplam Teknik Etki’ye ulaşıyor; bu, saldırganların etkilenen yazılım davranışı üzerinde tam kontrol sahibi olduğu ve tüm sistem bilgilerine erişebildiği anlamına geliyor.
| CVE Kimliği | Etkilenen Paket | Güvenlik Açığı Türü | Yamalı Sürüm |
|---|---|---|---|
| CVE-2025-12735 | expr-eval, expr-eval-çatal | Uzaktan Kod Yürütme | expr-eval-fork v3.0.0 |
Bu kusur özellikle üretken yapay zeka sistemleri ve NLP uygulamaları için tehlikelidir. Bu sistemler genellikle hassas yerel kaynaklara erişime sahip sunucu ortamlarında çalışır ve kullanıcı tarafından sağlanan matematiksel ifadeleri işler.
expr-eval veya expr-eval-fork kullanan geliştiriciler, kapsamlı güvenlik yamaları içeren expr-eval-fork sürüm 3.0.0’a yükselterek derhal harekete geçmelidir.
Güncelleme, güvenli işlevlerden oluşan bir izin verilenler listesi, özel işlevler için zorunlu kayıt ve güvenlik kısıtlamalarını uygulamaya yönelik gelişmiş test senaryoları sunar.
Güvenlik açığı, güvenlik araştırmacısı Jangwoo Choe (UKO) tarafından sorumlu bir şekilde açıklandı ve GitHub Çekme İsteği #288 aracılığıyla yama uygulandı.
Kuruluşlar, GitHub Güvenlik Danışma Belgesi GHSA-jc85-fpwf-qm7x aracılığıyla projelerindeki bu güvenlik açığını otomatik olarak tespit etmek için npm denetimini kullanabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
