Plataforma
nodejs
Componente
expr-eval
Corregido en
2.0.3
3.0.1
2.0.3
CVE-2025-12735 describe una vulnerabilidad de ejecución remota de código (RCE) en la biblioteca expr-eval para Node.js. Esta biblioteca, utilizada para analizar y evaluar expresiones matemáticas con variables definidas por el usuario, sufre de una validación de entrada insuficiente. Un atacante puede explotar esta falla inyectando objetos de variables maliciosos en la función evaluate(), lo que resulta en la ejecución de código arbitrario. La vulnerabilidad afecta a versiones de expr-eval menores o iguales a 2.0.2, y se recomienda actualizar a la versión 3.0.1 para solucionar el problema.
La vulnerabilidad de RCE en expr-eval permite a un atacante comprometer completamente la aplicación Node.js que utiliza esta biblioteca. El atacante puede inyectar código JavaScript malicioso a través de las variables proporcionadas a la función evaluate(). Este código puede realizar una amplia gama de acciones, incluyendo la lectura y modificación de archivos, la ejecución de comandos del sistema operativo, el robo de credenciales y el movimiento lateral dentro de la red. La severidad de esta vulnerabilidad es alta debido a su potencial para causar un daño significativo. Si la aplicación expone la función evaluate() a través de una API web, el riesgo se amplifica considerablemente, permitiendo a atacantes externos explotar la vulnerabilidad sin necesidad de acceso interno.
CVE-2025-12735 fue publicado el 5 de noviembre de 2025. Actualmente, no se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes. Es probable que se publiquen pruebas de concepto (PoC) en el futuro cercano. Se recomienda monitorear las fuentes de inteligencia de amenazas para obtener información sobre posibles campañas de explotación. La vulnerabilidad no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción.
Applications built with Node.js that utilize the expr-eval library for expression evaluation are at risk. This includes applications that accept user-supplied input and use it within mathematical expressions. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list expr-eval | grep -i '2.0.2'• nodejs / server:
find /var/www/your-app -type f -name "*.js" -exec grep -i 'evaluate(' {} + | less• generic web:
Inspect application code for usage of expr-eval and version numbers. Review access logs for unusual requests containing potentially malicious expressions.
disclosure
Estado del Exploit
EPSS
0.07% (21% percentil)
La mitigación principal para CVE-2025-12735 es actualizar la biblioteca expr-eval a la versión 3.0.1 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales. Una posible solución temporal es validar y sanitizar estrictamente todas las variables proporcionadas a la función evaluate(), asegurándose de que solo contengan valores seguros y esperados. Además, se recomienda implementar un firewall de aplicaciones web (WAF) con reglas que detecten y bloqueen intentos de inyección de código malicioso. Monitorear los registros de la aplicación en busca de patrones sospechosos, como la ejecución de comandos inesperados o el acceso a archivos sensibles, también puede ayudar a detectar y responder a posibles ataques.
Actualice la biblioteca expr-eval a una versión posterior a 3.0.0 que contenga la corrección para la vulnerabilidad de ejecución de código arbitrario. Verifique las notas de la versión y el registro de cambios para confirmar que la vulnerabilidad ha sido abordada. Si no hay una versión corregida disponible, considere usar una biblioteca alternativa para el análisis y la evaluación de expresiones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12735 is a remote code execution vulnerability in the expr-eval library for Node.js, allowing attackers to execute arbitrary code through crafted variables. It's rated HIGH severity (CVSS 7.5).
You are affected if your Node.js application uses expr-eval version 2.0.2 or earlier. Check your dependencies with npm list expr-eval.
Upgrade to version 3.0.1 or later using npm install expr-eval@latest. If immediate upgrade is not possible, implement stricter input validation.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation and public disclosure suggest a high probability of exploitation.
Refer to the official expr-eval GitHub repository and related security advisories for updates and further information: [https://github.com/truesilver/expr-eval](https://github.com/truesilver/expr-eval)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.