Kritisk sårbarhed i JavaScript-biblioteket expr-eval

Der er fundet en kritisk sårbarhed i JavaScript-biblioteket expr-eval, som anvendes bredt til evaluering af matematiske udtryk i webapplikationer. Sårbarheden gør det muligt for en angriber at injicere og eksekvere vilkårlig kode via manipuleret input, hvilket kan føre til kompromittering af systemet.

Sårbarheden har id’et EUVD-2025-37820 / CVE-2025-12735 og en CVSS-score på 9,8. EPSS-scoren er pt. 0,09 pct.

De berørte versioner er

• expr-eval-fork: versioner ≤ 2.0.2
• expr-eval: versioner ≤ 2.0.2

Sårbarheden udnytter parserens kontekstobjekt, hvor angriberen kan definere funktioner, der udfører systemkommandoer. Dette kan ske via inputfelter, som evalueres af expr-eval, og kan føre til adgang til lokale ressourcer, datatyveri eller fuld systemkompromittering.

Der er ingen rapporter om aktiv udnyttelse på nuværende tidspunkt. Det anbefales at der opdateres til en version, der ikke er påvirket af sårbarheden. Derudover anbefales det, at man er opmærksom på:

• Uventet systemadfærd ved brug af expr-eval
• Inputfelter, der evaluerer brugerdata uden sanitisering
• Logs med ukendte funktionskald eller evalueringsfejl