JavaScript 库 expr-eval 爆出严重漏洞：CVSS 9.8，可导致远程代码执行

在 JavaScript 生态系统中被广泛使用的表达式解析库 expr-eval 被曝出存在严重安全漏洞，漏洞编号 CVE-2025-12735，其风险评分高达 9.8（Critical）。该漏洞允许攻击者通过构造恶意输入在受影响系统上执行任意代码，影响范围涉及上百个项目和数十万开发者。

根据美国国家漏洞数据库（NVD）的说明，该漏洞源于 evaluate() 函数对输入上下文的验证不足，攻击者可借此调用恶意函数，从而完全控制目标应用的执行行为。安全研究员 Jangwoo Choe 首次发现了这一漏洞，并将详细报告提交给 US CERT 协调中心（CERT-CC）。CERT 在公告中指出，该缺陷可能使攻击者获得系统级权限，对使用该库的企业和开发团队构成严重威胁。

更令人担忧的是，原版 expr-eval 已多年无人维护，而其社区分支版本 expr-eval-fork 同样受到影响。根据 npm 数据，expr-eval 每周下载量超过 80 万次，已被嵌入超过 250 个开源与商用项目中，涉及教育、金融计算、AI 自然语言分析等多种领域。

目前，开发者在 expr-eval-fork 3.0.0 版本中已发布修复方案。新版加入了更严格的函数白名单、注册机制以及更全面的单元测试，能有效防止外部输入直接影响执行上下文。而原版库用户只能依赖一个尚未验证的第三方补丁，由于项目长期无人维护，其安全更新前景并不乐观。

安全专家建议所有集成该库的开发者 立即检查依赖版本，并尽快升级至 expr-eval-fork 3.0.0 或更高版本，以修复 CVE-2025-12735 并防止远程代码执行攻击。