热门NPM库存在严重漏洞,可导致AI与NLP应用遭受远程代码执行攻击
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
广泛使用的npm包expr-eval发现严重安全漏洞(CVE-2025-12735),可能导致远程代码执行。攻击者可通过恶意输入执行系统命令,影响AI和NLP应用。开发者应立即升级至expr-eval-fork 3.0.0版本以修复该漏洞。
🎯
关键要点
- 广泛使用的npm包expr-eval中发现严重安全漏洞(CVE-2025-12735),可能导致远程代码执行。
- 攻击者可通过恶意输入执行任意系统命令,影响AI和NLP应用。
- expr-eval库是一个JavaScript工具,旨在安全地解析和评估数学表达式。
- 该漏洞对AI和NLP生态系统具有重大影响,尤其是流行的LangChain框架。
- 研究人员发现攻击者可以在解析器的上下文对象中定义任意函数,注入恶意代码。
- 根据SSVC框架评估,该漏洞达到'完全技术影响'级别,攻击者可完全控制受影响软件。
- 开发人员应立即升级至expr-eval-fork 3.0.0版本以修复该漏洞。
- 更新内容包括安全函数白名单、自定义函数的强制注册机制和增强测试用例。
- 该漏洞由安全研究员Jangwoo Choe负责任地披露,并通过GitHub Pull Request #288完成修复。
- 企业可通过GitHub安全公告使用npm audit自动检测项目中的此漏洞。
➡️
