数式を解析・評価するJavaScriptライブラリに致命的な任意コード実行の脆弱性

脆弱性レポート「JVNVU#95007707」

　脆弱性対策情報ポータルサイト「JVN」は11月14日、脆弱性レポート「JVNVU#95007707」を公表した。JavaScriptライブラリ「expr-eval」および「expr-eval-fork」に、任意コードの実行につながる脆弱性が発見されたという。

　「expr-eval」は、引数に与えられた数式（「2 * x + 1」など）を解析し、評価（計算）して返す関数を提供するJavaScriptライブラリ。「expr-eval-fork」はその派生（フォーク）プロジェクトで、メンテナンスが滞っている「expr-eval」プロジェクトの後継といえる。

　「expr-eval」および「expr-eval-fork」v2.0.2およびそれ以前のバージョンには、引数として与えられた数式テキストの入力検証が不十分で、細工を施した文字列を入力すると任意のコマンドを実行できてしまう脆弱性（CVE-2025-12735）が存在する。CISA-ADP（CVEプログラムの認定データ発行元の米国サイバーセキュリティ・社会基盤安全保障庁）が公表した深刻度の評価は、「CVSS 3.x」の基本値で「9.8」（CRITICAL）。

　これらのライブラリを利用している場合は、「expr-eval-fork」を対策済みのv3.0.0へ更新する必要がある。「expr-eval」を利用している場合は、「expr-eval-fork」への移行を検討したい。