ScanNetSecurity

JavaScript ライブラリ expr-eval および expr-eval-fork に任意のコード実行 ...

expr-eval-fork 2.0.2およびそれ以前 数式を評価するJavaScriptライブラリexpr-evalおよびexpr-eval-forkには、任意コード実行につながる脆弱性(CVE-2025-12735)が存在し、細工された入力データがevaluate ()関数で評価されることで、任意のコマンドが実行される可能性がある。
note

【JavaScript】eval()でグローバル関数にする

eval() の基本となる構文になります。 eval() はグローバル関数なので、そのまま記述するだけでどこからでも利用することが可能です。 eval()の構文は、引数に任意の文字列を指定するだけです。 この文字列部分がJavaScriptコードである場合は、コードを解析し ...
ZDNet

Mozilla to Firefox users: Here's how we're protecting you from code injection attacks

That hardening work has focused on removing "potentially dangerous artifacts" in the Firefox codebase, including inline scripts and eval()-like functions, according to Mozilla's content security lead ...