สรุปข่าวความปลอดภัย: ช่องโหว่ RCE ในไลบรารี JavaScript ยอดนิยม
- ไลบรารี JavaScript “expr-eval” ที่มียอดดาวน์โหลดราว 800,000 ครั้งต่อสัปดาห์ ถูกพบช่องโหว่ระดับวิกฤต เปิดทางให้โจมตีแบบ Remote Code Execution (RCE)
- สาเหตุหลักมาจากการตรวจสอบตัวแปร/คอนเท็กซ์ในฟังก์ชัน evaluate() ไม่รัดกุม ทำให้แทรกฟังก์ชันอันตรายให้รันขณะประมวลผลนิพจน์ได้
- ผลกระทบกว้าง: ใช้ในเครื่องคิดเลขออนไลน์ แพลตฟอร์มการศึกษา ฟินเทค ไปจนถึงบางระบบ AI ที่ต้อง parse สมการจากผู้ใช้
- ผู้ดูแลออกแพตช์แล้ว แนะนำอัปเดตเป็นเวอร์ชันใหม่กว่า 2.0.2 ทันที และล็อกเวอร์ชันในโปรดักชันเพื่อลดความเสี่ยง
- เช็กลิสต์เร่งด่วนสำหรับทีมไทย: อัปเดต dependency + lockfile ตรวจสอบเส้นทางใช้งาน expr-eval เพิ่ม validation และเฝ้าระวัง payload ผิดปกติด้วย WAF/Runtime guard
- ระยะยาว: เปิดใช้ Dependabot/Renovate กำหนดนโยบายอัปเดตอย่างปลอดภัย และเตรียม playbook rollback กรณีเกิดเหตุไม่คาดคิด
