Yaygın olarak kullanılan JavaScript kütüphanesi expr-eval’de, matematiksel ifade değerlendirmesi ve doğal dil işleme için ona güvenen binlerce projeyi etkileyen, kritik bir uzaktan kod yürütme güvenlik açığı keşfedildi.
CVE-2025-12735 olarak takip edilen güvenlik açığı, sunucu ortamları ve kullanıcı girişini işleyen yapay zeka destekli uygulamalar için önemli riskler oluşturuyor.
| Tanımlayıcı | Değer |
|---|---|
| CVE Kimliği | CVE-2025-12735 |
| GitHub Danışmanlığı | GHSA-jc85-fpwf-qm7x |
| CERT/CC Notu | VU#263614 |
| Açıklama Tarihi | 7 Kasım 2025 |
Kütüphanenin geniş çapta benimsenmesi, bu güvenlik açığını özellikle üretim ortamlarında NLP ve AI uygulamalarını çalıştıran kuruluşlar için endişe verici hale getiriyor.
Teknik Detaylar
Güvenlik açığı, Parser sınıfının değerlendirme() yöntemindeki bir tasarım hatasından kaynaklanıyor. Saldırgan, ayrıştırıcının bağlam nesnesi içinde isteğe bağlı işlevler tanımlayarak bu kusurdan yararlanabilir.
Saldırgan, kullanıcı tarafından kontrol edilen girdilerden kötü amaçlı veriler oluşturarak ana sistemde sistem düzeyinde komutlar yürütebilir.
Bu, hassas yerel kaynaklara yetkisiz erişime, veri sızmasına veya sistemin tamamen tehlikeye atılmasına yol açabilir.
SSVC çerçevesine göre, bu güvenlik açığı Teknik Etki = Toplam anlamına gelir; bu, saldırganların yazılımın davranışı üzerinde tam kontrol sahibi olduğu veya tüm sistem bilgilerinin tamamen ifşa edilmesini sağladığı anlamına gelir. Bu önem düzeyi, etkilenen kuruluşların derhal harekete geçmesini gerektirmektedir.
Güvenlik açığı 7 Kasım 2025’te açıklandı ve en son belge güncellemeleri 9 Kasım 2025’te geldi.
Güvenlik araştırmacısı Jangwoo Choe, GitHub Security ve npm ile koordineli açıklama konusunda çalışan UKO’dan bu sorunu sorumlu bir şekilde açıkladı.
Geliştiricilerin ve sistem yöneticilerinin iki temel düzeltme yolu vardır:
Seçenek 1: Expr-eval deposundaki Çekme İsteği #288’deki güvenlik yamasını uygulayın. Yama, güvenli işlevlerden oluşan tanımlanmış bir izin verilenler listesi, özel işlevler için zorunlu kayıt mekanizmaları ve bu kısıtlamaları uygulamak için güncellenmiş test senaryoları sunar.
Seçenek 2: Expr-eval veya expr-eval-fork’un en son yamalı sürümüne yükseltin. Özellikle, expr-eval-fork v3.0.0 şu anda kullanıma sunuldu ve bu güvenlik açığını gideriyor.
Bu çatal, bakımı yapılmayan orijinal depoda ele alınmadan kalan önceki bir Prototip Kirliliği güvenlik açığını (Sorun #266) çözmek için oluşturuldu.
Expr-eval kullanan kuruluşlar bağımlılıklarını derhal denetlemeli ve yama uygulamasına öncelik vermelidir.
Kitaplık birçok yapay zeka ve NLP sistemi için temel olduğundan, istismar yaygınlaşmadan önce bu düzeltmenin hızlı bir şekilde uygulanması çok önemlidir.
Altyapınızdaki etkilenen sürümleri belirlemek ve yamalar üretim sistemlerine dağıtılır dağıtılmaz güncellemeleri uygulamak için npm denetimi gibi otomatik araçları kullanın.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.