Biblioteca do NPM permite execução remota

Uma vulnerabilidade grave foi identificada na biblioteca amplamente utilizada do npm, expr-eval, expondo aplicativos de inteligência artificial (IA) e processamento de linguagem natural (NLP) ao risco de ataques de execução remota de código. Classificada como CVE-2025-12735, a falha permite que invasores executem comandos arbitrários no sistema por meio de entradas maliciosamente manipuladas.

Contexto e impacto no ecossistema de IA e NLP

A expr-eval é uma biblioteca JavaScript usada para interpretar e avaliar expressões matemáticas de forma segura, sendo preferida em relação ao uso direto do eval() nativo do JavaScript. Com mais de 250 pacotes dependentes, incluindo implementações do framework LangChain, sua exploração pode afetar seriamente aplicações generativas e serviços de NLP, frequentemente executados em servidores com acesso a recursos sensíveis.

Como ocorre a exploração

Pesquisadores da Carnegie Mellon University descobriram que um invasor pode definir funções arbitrárias dentro do contexto do parser, injetando código que executa comandos no sistema operacional. Esse tipo de ataque confere impacto técnico total (Total Technical Impact) conforme o SSVC, garantindo controle absoluto sobre o software afetado e acesso a informações do sistema.

Mitigação e atualização recomendada

A vulnerabilidade foi corrigida na versão expr-eval-fork 3.0.0. A atualização inclui uma lista de funções permitidas, exigência de registro manual para funções personalizadas e novos testes de segurança para reforçar as restrições.

Desenvolvedores devem:

Atualizar imediatamente para expr-eval-fork v3.0.0 ou versões superiores.
Usar ferramentas como npm audit para detectar a vulnerabilidade em projetos atuais.
Consultar o Security Advisory GHSA-jc85-fpwf-qm7x para mais detalhes.

A divulgação responsável do problema foi realizada por Jangwoo Choe (UKO), com patch implementado via Pull Request #288 no GitHub. Empresas e equipes de desenvolvimento de IA devem tratar a vulnerabilidade como prioridade, dada a possibilidade de ataque massivo em ambientes produtivos.

FONTE: CISO ADVISOR

Biblioteca do NPM permite execução remota

Contexto e impacto no ecossistema de IA e NLP

Como ocorre a exploração

Mitigação e atualização recomendada

IA Grok vira crise global de deepfakes e expõe fragilidades em segurança de modelos generativos

Prof. Danilo Aleixo fala sobre o desastre em Açude Velho – CG e sustentabilidade

Governo da Paraíba inicia nova edição do Game Dev Quest com 40 equipes selecionadas

IA Grok vira crise global de deepfakes e expõe fragilidades em segurança de modelos generativos

Governo da Paraíba inicia nova edição do Game Dev Quest com 40 equipes selecionadas

Paraíba recebe a maior maratona de criação de jogos do mundo com edições em João Pessoa e Campina Grande

Pesquisadores derrubam segurança de autenticação por voz

Últimas Noticias

IA Grok vira crise global de deepfakes e expõe fragilidades em segurança de modelos generativos

Prof. Danilo Aleixo fala sobre o desastre em Açude Velho – CG e sustentabilidade

Governo da Paraíba inicia nova edição do Game Dev Quest com 40 equipes selecionadas

Biblioteca do NPM permite execução remota

Contexto e impacto no ecossistema de IA e NLP

Como ocorre a exploração

Mitigação e atualização recomendada

Notícias relacionadas