นักวิจัยด้านความปลอดภัย Jangwoo Choe เพิ่งค้นพบช่องโหว่ร้ายแรงในไลบรารี JavaScript ชื่อ expr-eval ที่มีผู้ดาวน์โหลดกว่า 800,000 ครั้งต่อสัปดาห์บน NPM โดยช่องโหว่ CVE-2025-12735 นี้ได้รับคะแนนความรุนแรง 9.8 จาก CISA จัดเป็นระดับ Critical เต็มๆ สาเหตุมาจากการตรวจสอบ input ที่ไม่เพียงพอ ทำให้แฮกเกอร์สามารถส่ง variables object ที่ปลอมแปลงเข้าไปใน evaluate() function แล้วรันโค้ดอะไรก็ได้จากระยะไกล โดยไม่ต้องมีการโต้ตอบกับผู้ใช้เลย[1] ไลบรารีตัวนี้ถูกใช้งานอย่างแพร่หลายในเครื่องคิดเลข แพลตฟอร์มการศึกษา เครื่องมือทางการเงิน และแม้แต่ระบบ AI ที่ต้อง parse mathematical expressions ทำให้ผลกระทบกว้างขวางมาก ตอนนี้ patch ออกมาแล้ว แนะนำให้อัปเดตไปเวอร์ชันที่สูงกว่า 2.0.2 โดยเร็วที่สุด เพราะยังไม่มี PoC แพร่กระจายออกมา แต่ช่องโหว่นี้ใช้ exploit ได้ง่ายมาก[2]
ช่องโหว่ร้ายแรงในไลบรารี JavaScript expr-eval อนุญาตให้แฮกเกอร์รันโค้ดจากระยะไกล
