CVE-2026-12866 : Ex├®cution de Code Arbitraire dans expr-eval via toJSFunction()

0
235

CVE-2026-12866 : Ex├®cution de Code Arbitraire dans expr-eval via toJSFunction()

R├®sum├® de la Vuln├®rabilit├®

La vuln├®rabilit├® CVE-2026-12866 affecte le package expr-eval, le rendant susceptible ├á l'ex├®cution de code arbitraire via sa m├®thode toJSFunction(). Un attaquant peut exploiter cette faille en soumettant des expressions sp├®cialement con├ºues qui sont compil├®es en code natif ├á l'aide de la fonction JavaScript new Function(). L'utilisation directe des expressions fournies par l'utilisateur pour g├®n├®rer du JavaScript ex├®cutable permet aux attaquants de contourner les m├®canismes de s├®curit├® et d'ex├®cuter du code malveillant dans le contexte de l'application.

Explication Technique pour les D├®fenseurs

Le package expr-eval pr├®sente une vuln├®rabilit├® d'ex├®cution de code via l'API toJSFunction() car il ne neutralise pas, ou neutralise de mani├¿re inad├®quate, certains caract├¿res sp├®ciaux. Cela permet aux attaquants de cr├®er des expressions malveillantes qui peuvent ├¬tre compil├®es en code natif et ex├®cut├®es dans le contexte de l'application.

Buscar
Categorías
Leer más
Otro
Titel (in Dutch)
Titel (in Dutch)Samenvatting (in Dutch)Dezeelcode van de package `expr-eval` is geïnfectueerd...
Por Mario Serrano 2026-06-30 06:10:37 0 54
Otro
TITLU: Vulnerabilitate CVE-2026-12866 - Detali CVSS, EPSS și Kev | CVE Find (Romaian)
TITLU: Vulnerabilitate CVE-2026-12866 - Detali CVSS, EPSS și Kev | CVE FindSUMAR...
Por Mario Serrano 2026-06-30 06:40:29 0 55
Ciberseguridad
ðùð░ð│ð¥ð╗ð¥ð▓ð¥ð║ (ð▓ ÐÇÐâÐüÐüð║ð¥ð╝)
ðùð░ð│ð¥ð╗ð¥ð▓ð¥ð║ (ð▓ ÐÇÐâÐüÐüð║ð¥ð╝)ðíð▓ð¥ð┤ð║ð░ (ð▓ ÐÇÐâÐüÐüð║ð¥ð╝)ðºÐéð¥...
Por Mario Serrano 2026-06-30 15:59:34 0 23
Otro
CVE-2026-12866 : Detay─▒ (Turkish)
CVE-2026-12866 : DetayıÖzetexpr-eval paketinin tüm veya bir kısmını, üst bileşenden gelen...
Por Mario Serrano 2026-06-30 06:01:52 0 55
Otro
TITLU: Vulnerabilitatea CVE-2026-12866 - Detalii CVSS, EPSS și CISA Kev | CVE Find (Romaian)
TITLU: Vulnerabilitatea CVE-2026-12866 - Detalii CVSS, EPSS și CISA Kev | CVE...
Por Mario Serrano 2026-06-30 06:32:10 0 10