Про уязвимость Remote Code Execution - expr-eval (CVE-2025-12735). expr-eval - это JavaScript-библиотека для парсинга и вычисления математических выражений, обеспечивающая безопасную обработку пользовательских переменных. Она используется в онлайн-калькуляторах, учебных программах, инструментах для моделирования, финансовых приложениях, системах ИИ и обработки естественного языка (NLP). Уязвимость, связанная с недостаточной проверкой входных данных, может привести к выполнению произвольного JavaScript-кода в контексте приложения.
🛠 Уязвимость была выявлена 5 ноября. PoC на GitHub доступен с 11 ноября.
⚙️ Пока уязвимость находится в процессе устранения в основном (фактически заброшенном 🤷♂️) проекте expr-eval, и не полностью устранена в его форке expr-eval-fork. Безопасные версии должны появиться в соответствующей GHSA.
🌐 Библиотека популярная. У expr-eval 800к скачиваний в неделю на npm, у expr-eval-fork - 88к.
👾 Признаков эксплуатации вживую пока нет.
@avleonovrus #expreval #JavaScript #npm
🛠 Уязвимость была выявлена 5 ноября. PoC на GitHub доступен с 11 ноября.
⚙️ Пока уязвимость находится в процессе устранения в основном (фактически заброшенном 🤷♂️) проекте expr-eval, и не полностью устранена в его форке expr-eval-fork. Безопасные версии должны появиться в соответствующей GHSA.
🌐 Библиотека популярная. У expr-eval 800к скачиваний в неделю на npm, у expr-eval-fork - 88к.
👾 Признаков эксплуатации вживую пока нет.
@avleonovrus #expreval #JavaScript #npm
Декабрьский "В тренде VM": уязвимости в Windows, библиотеке expr-eval, Control Web Panel и Django. Традиционная ежемесячная подборка трендовых уязвимостей. В этот раз достаточно компактная. 💽
🗞 Пост на Хабре
🗞 Пост на SecurityLab
🗒 Дайджест на сайте PT
Всего четыре уязвимости:
🔻 EoP - Windows Kernel (CVE-2025-62215)
🔻 RCE - expr-eval (CVE-2025-12735)
🔻 RCE - Control Web Panel (CVE-2025-48703)
🔻 SQLi - Django (CVE-2025-64459)
🟥 Портал трендовых уязвимостей
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Windows #expreval #JavaScript #npm #CWP #Django
🗞 Пост на Хабре
🗞 Пост на SecurityLab
🗒 Дайджест на сайте PT
Всего четыре уязвимости:
🔻 EoP - Windows Kernel (CVE-2025-62215)
🔻 RCE - expr-eval (CVE-2025-12735)
🔻 RCE - Control Web Panel (CVE-2025-48703)
🔻 SQLi - Django (CVE-2025-64459)
🟥 Портал трендовых уязвимостей
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Windows #expreval #JavaScript #npm #CWP #Django
Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно. В мае 2025 года в npm-репозитории появился пакет "lotusbail", реализующий работу с API мессенджера WhatsApp (разрабатываемого экстремистской компанией Meta). Этот пакет выполнял все заявленные функции.👌 НО кроме того, содержал зловредную функциональность по перехвату сообщений, контактов, токенов аутентификации и привязке аккаунта жертвы к устройству атакующего. 🤷♂️
Зловредный пакет был доступен аж до 23 декабря. За это время его скачали около 60 000 раз. 😱
❓А теперь вопрос: учитывая, что использование готовых библиотек на каждый чих является сейчас best practice, института репутации разработчиков фактически нет (сплошные анонимы и ноунеймы), а вайб-кодинг становится все проще и эффективнее, что мешает таким кейсам становиться массовыми? Вполне вероятно, что вскоре зловредные форки библиотек будут плодиться одним запросом к LLM-ке. 🤔
@avleonovrus #lotusbail #npm #Nodejs #JavaScript #WhatsApp #Meta
Зловредный пакет был доступен аж до 23 декабря. За это время его скачали около 60 000 раз. 😱
❓А теперь вопрос: учитывая, что использование готовых библиотек на каждый чих является сейчас best practice, института репутации разработчиков фактически нет (сплошные анонимы и ноунеймы), а вайб-кодинг становится все проще и эффективнее, что мешает таким кейсам становиться массовыми? Вполне вероятно, что вскоре зловредные форки библиотек будут плодиться одним запросом к LLM-ке. 🤔
@avleonovrus #lotusbail #npm #Nodejs #JavaScript #WhatsApp #Meta