Biblioteca npm popular usada em projetos de IA e PNL expõe sistemas ao RCE – Against Invaders – Notícias de CyberSecurity para humanos.

Biblioteca npm popular usada em projetos de IA e PNL expõe sistemas ao RCE - Against Invaders - Notícias de CyberSecurity para humanos.

Uma vulnerabilidade crítica de execução remota de código foi descoberta na biblioteca JavaScript amplamente utilizada expr-eval, afetando milhares de projetos que dependem dela para avaliação de expressões matemáticas e processamento de linguagem natural.

A vulnerabilidade, rastreada como CVE-2025-12735, representa riscos significativos para ambientes de servidor e para aplicativos alimentados por IA que processam a entrada do usuário.

Identificador Valor
ID do CVE CVE-2025-12735
Aviso do GitHub GHSA-jc85-fpwf-qm7x
Nota CERT/CC VU#263614
Data de divulgação 7 de novembro de 2025

A ampla adoção da biblioteca torna esta vulnerabilidade particularmente preocupante para organizações que executam aplicações de PNL e IA em ambientes de produção.

Detalhes técnicos

A vulnerabilidade decorre de uma falha de design no método avaliar() da classe Parser. Um invasor pode explorar essa falha definindo funções arbitrárias dentro do objeto de contexto do analisador.

Ao criar cargas maliciosas a partir de entradas controladas pelo usuário, um invasor pode executar comandos em nível de sistema no sistema host.

Isso pode levar ao acesso não autorizado a recursos locais confidenciais, à exfiltração de dados ou ao comprometimento total do sistema.

De acordo com a estrutura SSVC, esta vulnerabilidade representa um Impacto Técnico = Total, o que significa que os adversários ganham controle total sobre o comportamento do software ou conseguem a divulgação total de todas as informações do sistema. Este nível de gravidade exige ação imediata das organizações afetadas.

A vulnerabilidade foi divulgada em 7 de novembro de 2025, com as atualizações de documentação mais recentes chegando em 9 de novembro de 2025.

Pesquisador de segurança Jangwoo Choe com responsabilidade divulgado a questão do UKO, que trabalhou com GitHub Security e npm na divulgação coordenada.

Os desenvolvedores e administradores de sistema têm dois caminhos principais de correção:

Opção 1:Aplique o patch de segurança do Pull Request #288 no repositório expr-eval. O patch introduz uma lista de permissões definida de funções seguras, mecanismos de registro obrigatórios para funções personalizadas e casos de teste atualizados para impor essas restrições.

Opção 2:Atualize para a versão corrigida mais recente de expr-eval ou expr-eval-fork. Notavelmente, expr-eval-fork v3.0.0 já está disponível e aborda isso vulnerabilidade.

Esta bifurcação foi criada para resolver uma vulnerabilidade anterior de poluição de protótipo (problema nº 266) que permaneceu sem solução no repositório original não mantido.

As organizações que usam expr-eval devem auditar imediatamente suas dependências e priorizar a aplicação de patches.

Como a biblioteca é fundamental para muitos sistemas de IA e PNL, implementar essa correção rapidamente é essencial antes que a exploração se torne generalizada.

Use ferramentas automatizadas como auditoria npm para identificar versões afetadas em sua infraestrutura e implementar atualizações assim que os patches forem implantados nos sistemas de produção.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.