- يسمح CVE-2025-12735 في expr-eval بتنفيذ التعليمات البرمجية عن بعد من خلال تقييم الإدخال غير الآمن
- الإصدارات الضعيفة .02.0.2؛ تم تصحيحه في 2.0.3 وتفرعه في expr-eval-fork 3.0.0
- يجب على المطورين تصحيح المتغيرات وتجنب الإدخال غير الموثوق به في استدعاءات التقييم ().
تم اكتشاف ثغرة أمنية خطيرة في مكتبة جافا سكريبت المعتمدة على نطاق واسع والتي قد تسمح للجهات الفاعلة في مجال التهديد بتنفيذ تعليمات برمجية ضارة عن بُعد.
اكتشف الباحث الأمني Jangwoo Choe خطأ “عدم التحقق من صحة الإدخال” في expr-eval، وهي مكتبة تضم أكثر من 800000 عملية تنزيل أسبوعيًا على NPM. يقوم بتوزيع وتقييم التعبيرات الرياضية من السلاسل، ويسمح للمطورين بحساب الصيغ التي يدخلها المستخدم بأمان. بشكل عام، يتم استخدام البرنامج النصي في تطبيقات الويب للآلات الحاسبة وأدوات تحليل البيانات والمنطق القائم على التعبير.
تم منح الثغرة الأمنية درجة خطورة تبلغ 9.8/10 (حرجة) ويتم تتبعها الآن باسم CVE-2025-12735. يصنف CERT/CC ومتتبعو الصناعة الخطأ على أنه عالي التأثير: الادعاء بأنه قابل للاستغلال عن بعد، ولا يتطلب أي امتيازات أو تفاعل من المستخدم، ويمكن أن يؤدي إلى التسوية الكاملة للسرية والنزاهة والتوفر.
الإصلاحات والتخفيفات
وجاء في تحذير CERT: “يمكن استغلال هذه الإمكانية لإدخال تعليمات برمجية ضارة تنفذ أوامر على مستوى النظام، وربما الوصول إلى الموارد المحلية الحساسة أو سرقة البيانات”. “تم تصحيح هذه المشكلة عبر طلب السحب رقم 288.”
ينبع السبب الجذري للمشكلة من سماح المكتبة للكائنات الوظيفية والقيم الخطيرة الأخرى في سياق التقييم، لذلك يمكن للمهاجم الذي يمكنه التأثير على كائن المتغيرات توفير وظائف تفلت من وضع الحماية وتنفيذ JavaScript عشوائيًا.
قيل أن جميع الإصدارات حتى الإصدار 2.0.2 من المكتبة، بما في ذلك، معرضة للخطر، مع توفر الإصلاح في الإصدارات 2.0.3 والإصدارات الأحدث.
يمكن للمستخدمين أيضًا تخفيف المخاطر عن طريق الانتقال إلى الإصدار 3.0.0 من الشوكة التي يتم صيانتها بشكل نشط، expr-eval-fork. يجب أيضًا على المستخدمين الذين تستدعي تطبيقاتهم التقييم() على المدخلات المقدمة من المستخدم وغير الموثوق بها أن يتوقفوا فورًا عن تغذية البيانات غير الموثوقة بها، وأن يقوموا بلف كائنات المتغيرات أو تعقيمها بحيث لا يمكن إدخال الوظائف وحقول تعديل النموذج الأولي.
تتمتع المكتبة بشعبية واسعة النطاق. وفقًا لموقع npmjs.com، يتم استخدامه حاليًا في أكثر من 250 مشروعًا.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات