Uma vulnerabilidade de segurança crítica foi descoberta na popular biblioteca JavaScript expr-eval, um pacote que regista mais de 800 mil downloads semanais na plataforma NPM. A falha, rastreada como CVE-2025-12735, foi identificada pelo investigador de segurança Jangwoo Choe.
A Agência de Cibersegurança e Infraestruturas dos EUA (CISA) já classificou a vulnerabilidade como crítica, atribuindo-lhe uma pontuação de gravidade de 9.8 em 10. O risco principal é a possibilidade de execução remota de código (RCE) através de inputs maliciosamente criados.
Onde reside o perigo?
Originalmente desenvolvida por Matthew Crumley, a expr-eval é uma pequena biblioteca usada para analisar e avaliar com segurança expressões matemáticas fornecidas pelo utilizador em tempo de execução.
Segundo o CERT Coordination Center (CERT-CC) do Software Engineering Institute (SEI) da Carnegie Mellon, a vulnerabilidade deve-se a uma falha da biblioteca em validar adequadamente os objetos de variáveis ou de contexto que são passados para a função Parser.evaluate().
Isto permite que um atacante forneça objetos de função maliciosos que o parser acaba por invocar durante a avaliação da expressão. O CERT-CC alerta que a falha "dá ao adversário controlo total sobre o comportamento do software ou a divulgação total de toda a informação no sistema afetado".
Quem está afetado?
Devido à sua função específica, esta biblioteca é frequentemente utilizada em projetos como calculadoras online, suites educacionais, ferramentas de simulação, aplicações financeiras e, mais recentemente, sistemas de IA e processamento de linguagem natural (NLP) que precisam de interpretar expressões matemáticas a partir de prompts de texto.
A vulnerabilidade afeta tanto a biblioteca expr-eval original, cuja versão estável foi lançada há seis anos, como o seu fork (derivação) ativamente mantido, o expr-eval-fork, que por si só tem mais de 80.000 downloads semanais. Dados do npmjs.com indicam que a biblioteca é usada como dependência em mais de 250 projetos.
Correção exige migração urgente
Já existe uma correção para a falha CVE-2025-12735, mas apenas na versão 3.0.0 do fork expr-eval-fork. A nova versão implementa uma lista de permissões (allowlist) de funções seguras para avaliação, um sistema de registo para funções personalizadas e melhores testes para garantir estas restrições.
Para os utilizadores da biblioteca expr-eval original, existe um pull request no GitHub com a correção. No entanto, os responsáveis pelo projeto não dão resposta, tornando incerto quando (ou se) será integrado numa nova versão.
A recomendação é clara: os programadores de software afetados devem migrar imediatamente para o expr-eval-fork v3.0.0 e republicar as suas próprias bibliotecas para que os utilizadores finais recebam a correção de segurança.
Nenhum comentário
Seja o primeiro!