公開日:2025/11/14 最終更新日:2025/11/14

JVNVU#95007707
JavaScriptライブラリexpr-evalおよびexpr-eval-forkに任意のコード実行につながる脆弱性

概要

JavaScriptライブラリexpr-evalおよびexpr-eval-forkには、任意のコード実行につながる脆弱性が存在します。

影響を受けるシステム

  • expr-eval 2.0.2およびそれ以前
  • expr-eval-fork 2.0.2およびそれ以前

詳細情報

数式を評価するJavaScriptライブラリexpr-evalおよびexpr-eval-forkには、任意コード実行につながる脆弱性が存在します。(CVE-2025-12735、CWE-94)

想定される影響

細工された入力データがevaluate()関数で評価されることで、任意のコマンドが実行される可能性があります。

対策方法

パッチを適用する
開発者が提供する情報をもとにパッチ(Pull Request #288.)を適用してください。

アップデートする
expr-eval-forkは、本脆弱性の対策を行ったバージョンv3.0.0をリリースしています。
expr-evalについては、2025年11月10日現在、アップデートなどの情報は確認できていません。

ベンダ情報

ベンダ リンク
silentmatt silentmatt/expr-eval Security Patch. #288
expr-eval-fork expr-eval-fork - npm

参考情報

  1. CERT/CC Vulnerability Note VU#263614
    Vulnerability in expr-eval JavaScript library can lead to arbitrary code execution.
  2. GitHub Advisory Database
    GHSA-jc85-fpwf-qm7x: expr-eval does not restrict functions passed to the evaluate function

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia