Popular JavaScript library expr-eval vulnerable to RCE flaw

NPMで毎週80万件以上ダウンロードされている人気のJavaScriptライブラリexpr-evalに重大な脆弱性があり、悪意を持って細工された入力を通してリモートでコードを実行される可能性があります。

このセキュリティ問題は、セキュリティ研究者のJangwoo Choe氏によって発見され、CVE-2025-12735として追跡されている。米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)によると、深刻度は9.8でクリティカルです。

元々Matthew Crumley氏によって開発されたexpr-evalは、小さなJavaScript式パーサーおよび評価器であり、実行時にユーザーから提供された数式の安全な解析および計算を必要とするプロジェクトで使用される。

Wiz

例えば、オンライン計算機、教育スイート、シミュレーションツール、金融ツール、そして最近では、テキストプロンプトから数式を解析するAIや自然言語処理(NLP)システムなどである。

カーネギー・メロン大学ソフトウェア工学研究所(SEI)のCERTコーディネーション・センター(CERT-CC)は、週末に発表した勧告の中で、この脆弱性は、ライブラリがParser.evaluate()関数に渡される変数/コンテキスト・オブジェクトを検証していないことに起因すると述べている。

「この脆弱性は、敵対者にソフトウェアの動作を完全に制御させるか、影響を受けるシステム上の全情報を完全に開示させる」 –CERT-CC

CVE-2025-12735は、6年前にリリースされた安定版のオリジナルのexpr-evalと、現在活発にメンテナンスされているフォークのexpr-eval-forkの両方に影響します。

npmjs.comのデータによると、このライブラリは250以上のプロジェクトで使われている。CVE-2025-12735に対するセキュリティ修正がexpr-eval-forkバージョン3.0.0に含まれている。

このパッチは、評価用の安全な関数の許可リスト、カスタム関数の登録システム、および、これらの制約に対するテストカバレッジの改善を強制します。

expr-evalのユーザーには、この修正を実装したプルリクエストがあります。しかし、プロジェクトのメンテナが応答しないため、いつ新しいリリースにマージされるかは不明です。

影響を受けるソフトウェア開発者は、直ちにexpr-eval-fork v3.0.0に移行し、ユーザーが修正を受け取れるようにライブラリを再パブリッシュすることを推奨します。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Wiz

2026年CISO予算ベンチマーク

予算の季節です!300人以上のCISOやセキュリティ・リーダーが、来年に向けてどのような計画、支出、優先順位付けを行っているかを発表しました。本レポートでは、2026年に向けた戦略のベンチマーク、新たなトレンドの特定、優先事項の比較を可能にするために、彼らの洞察をまとめています。

トップリーダーがどのように投資を測定可能なインパクトに変えているかをご覧ください。