พบช่องโหว่บน JavaScript Library expr-eval ส่งผลให้แฮกเกอร์รันโค้ดจากระยะไกลได้

November 11, 2025 Cybersecurity, Threats Update

พบช่องโหว่ระดับ Critical บน expr-eval JavaScript library ที่มีผู้ใช้งานกว่า 800,000 ดาวน์โหลดต่อสัปดาห์บน NPM ทำให้แฮกเกอร์สามารถรันโค้ดจากระยะไกลผ่าน malicious input

ช่องโหว่ที่ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Jangwoo Choe ได้รับหมายเลข CVE-2025-12735 โดย U.S. Cybersecurity and Infrastructure Security Agency (CISA) ระบุว่ามีความรุนแรงระดับ Critical ด้วยคะแนน CVSS 9.8 expr-eval ที่พัฒนาโดย Matthew Crumley เป็น JavaScript expression parser และ evaluator ขนาดเล็กที่ใช้ในโปรเจ็คต์ต่างๆ ที่ต้องการประมวลผลและคำนวณ mathematical expressions จากผู้ใช้งานอย่างปลอดภัย Library นี้ถูกใช้งานในหลายระบบ รวมถึงเครื่องคิดเลขออนไลน์ ระบบการศึกษา เครื่องมือ simulation เครื่องมือทางการเงิน และระบบ AI และ Natural Language Processing (NLP) ที่ต้องแปลง mathematical expressions จาก text prompts

CERT Coordination Center (CERT-CC) ของ Carnegie Mellon’s Software Engineering Institute เปิดเผยว่าช่องโหว่เกิดจากการที่ library ไม่ได้ตรวจสอบ variables/context object ที่ส่งเข้าไปใน Parser.evaluate() function ทำให้ผู้โจมตีสามารถส่ง malicious function objects ที่ parser จะเรียกใช้ระหว่างการประมวลผล ส่งผลให้ผู้โจมตีสามารถควบคุมพฤติกรรมของซอฟต์แวร์หรือเข้าถึงข้อมูลทั้งหมดบนระบบที่มีช่องโหว่ได้อย่างสมบูรณ์ CVE-2025-12735 ส่งผลกระทบต่อทั้ง expr-eval เวอร์ชันดั้งเดิมที่ปล่อย stable version มา 6 ปีแล้ว และ expr-eval-fork ที่ยังมีการพัฒนาอยู่และมีผู้ใช้งานกว่า 80,000 ดาวน์โหลดต่อสัปดาห์บน NPM โดย library นี้ถูกใช้งานในโปรเจ็คต์มากกว่า 250 โปรเจ็คต์

การแก้ไขช่องโหว่ CVE-2025-12735 มีให้ใช้งานแล้วใน expr-eval-fork version 3.0.0 ซึ่งแนะนำให้โปรเจ็คต์ที่ได้รับผลกระทบเปลี่ยนไปใช้โดยเร็วที่สุด การแพตช์ประกอบด้วยการบังคับใช้ allowlist ของ safe functions สำหรับการประมวลผล ระบบลงทะเบียนสำหรับ custom functions และการปรับปรุง test coverage สำหรับข้อจำกัดเหล่านี้ สำหรับผู้ใช้งาน expr-eval เวอร์ชันดั้งเดิม มี pull request ที่แก้ไขปัญหาแล้ว แต่ยังไม่ทราบว่าจะถูก merge เข้าสู่ release ใหม่เมื่อไหร่เนื่องจากทีมผู้ดูแลโปรเจ็คต์ไม่ตอบสนอง นักพัฒนาซอฟต์แวร์ที่ได้รับผลกระทบควรย้ายไปใช้ expr-eval-fork v3.0.0 ทันทีและ republish libraries เพื่อให้ผู้ใช้งานได้รับการแก้ไข

ที่มา: https://www.bleepingcomputer.com/news/security/popular-javascript-library-expr-eval-vulnerable-to-rce-flaw/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

CyberGenics ผนึก Ensign InfoSecurity ยกระดับ Cybersecurity ไทย รับมือภัยยุค AI และความเสี่ยง Quantum Safe [PR]

บริษัท ไซเบอร์จีนิคส์ จำกัด (CyberGenics) ผู้นำด้านความมั่นคงปลอดภัยไซเบอร์แบบครบวงจรในเครือบริษัท จีเอเบิล จำกัด (มหาชน) (G-ABLE) ประกาศลงนามบันทึกความเข้าใจ (MOU) กับ Ensign InfoSecurity ผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์ชั้นนำจากสิงคโปร์ …

5 สัญญาณเตือนว่าถึงเวลาที่คุณควรเปลี่ยนจาก Traditional Load Balancer มาเป็น VMware Avi

Load Balancer มีใช้กันมาอย่างยาวนาน ในยุคที่ผ่านมาโซลูชันฮาร์ดแวร์ถูกนำไปใช้อย่างแพร่หลาย แต่เมื่อการเปลี่ยนผ่านของ cloud native เข้ามา ก็ถึงเวลาแล้วที่องค์กรควรหาทางเลือกที่ตอบโจทย์ความคล่องตัวได้มากขึ้นอย่างทางเลือกของ Software-defined หากท่านกำลังเผชิญ 5 สัญญาณเตือนเหล่านี้ ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ VMware …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand