#948 JavaScript ライブラリ expr-eval および expr-eval-fork に任意のコード実行につながる脆弱性

今回はJavaScriptライブラリの脆弱性に関する重要な報告を取り上げます。数式を評価するライブラリのevaluate関数により細工された入力で任意のコード実行が起こる可能性が指摘されました。リスナーの皆さんには影響範囲の見極め方と優先的な対処方法、検証手順を具体的にお伝えします。業務システムやウェブアプリでライブラリを使っている場合に直ちに取るべき対応がわかるように解説します。

今回の問題は数式を評価するライブラリexpr-evalとそのフォークであるexpr-eval-forkに存在する脆弱性で、識別番号はCVE-2025-12735と報告されています。（影響を受けるバージョンはexpr-eval 2.0.2以前およびexpr-eval-fork 2.0.2以前です。）脆弱性の本質はevaluate関数が細工された入力を処理する際に評価対象の式から任意のコマンドが実行される可能性がある点にあります。影響範囲はライブラリを組み込んだウェブアプリケーションやサーバ側の処理で、攻撃者が入力を通じてリモートコード実行を誘発できる恐れがあります。JVNは開発者提供のパッチを適用するかアップデートを推奨しており、expr-eval-forkは対策済みのバージョン3.0.0をリリース済みです。一方でexpr-eval本家については記事時点で公式なアップデート情報が確認されていないため、利用者側で注意深くバージョン確認と代替措置を行う必要があります。

expr-evalは文字列で表された数式や式を解析して評価するためのライブラリです。プログラム内でユーザーが入力した式を計算したり、動的に式を評価して値を得たりする場面で使われます。単純な算術計算だけでなく変数や関数呼び出しのような構文を扱えるため、テンプレート処理やカスタム計算機能を実装する際に重宝されます。ただし外部入力をそのまま評価する設計は慎重さが必要で、今回のような脆弱性では評価対象に不正な構造が混入すると安全性が損なわれます。

evaluate関数は文字列の式を解析して抽象構文木を生成し評価しますが、その評価過程で予期しないオブジェクト参照や関数呼び出しが許容されると、内部的にグローバルオブジェクトや実行環境の機能にアクセスされる可能性が出ます。攻撃者が細工した入力を与えることで式の中に悪意ある呼び出しを組み込み、結果としてシステム上で任意のコマンドが実行されるリスクが生じます。典型的には入力のサニタイズ不足と評価時のホワイトリスト不備が原因で、ライブラリの実装や設定次第で影響範囲が大きく変わります。

まず利用中のライブラリとそのバージョンを正確に特定してください。パッケージ管理ツールの依存関係ツリーを確認し、expr-evalまたはexpr-eval-forkが含まれている箇所を洗い出します。次に開発者が示すパッチやPull Requestを適用するか、対策済みバージョンへアップデートしてください。expr-eval-forkは既にバージョン3.0.0で修正が入っているため、可能であればそこへ移行することが近道です。もし即時のアップデートが困難な場合は外部からの式入力を無効化するか評価をサンドボックス化し、影響範囲を限定する一時対策を講じてください。

まずはバージョン番号の確認で修正済みバージョンへ更新されていることを確かめてください。次にテスト環境で既知の攻撃ベクトルとなる細工された式を用意し、それを評価しても任意コードが実行されないことを検証します。可能であれば静的解析ツールや依存関係のセキュリティスキャンを実行し、該当CVEに対する検出がないことを確認します。最後に本番環境へ反映する前にログとモニタリングを強化し、不審な評価や外部からの式入力が試行されていないかを監視してください。

ライブラリに外部入力を直接渡す設計を避けることが最も重要です。ユーザーからの式入力が必須の場合は入力の厳格な検証とホワイトリスト方式を採用し、評価前に許可されたトークンや関数のみを通すようにしてください。依存関係の定期的な棚卸しと脆弱性情報の自動通知設定を整え、問題が公表されたら速やかに対応できる体制を作ることも鍵です。加えて評価処理を権限の低い環境で実行するサンドボックス化や実行権限の最小化を組み合わせることで被害を限定できます。