CVE-2026-12866 : Ex├®cution de Code Arbitraire dans expr-eval via toJSFunction()
CVE-2026-12866 : Ex├®cution de Code Arbitraire dans expr-eval via toJSFunction()
R├®sum├® de la Vuln├®rabilit├®
La vuln├®rabilit├® CVE-2026-12866 affecte le package expr-eval, le rendant susceptible ├á l'ex├®cution de code arbitraire via sa m├®thode toJSFunction(). Un attaquant peut exploiter cette faille en soumettant des expressions sp├®cialement con├ºues qui sont compil├®es en code natif ├á l'aide de la fonction JavaScript new Function(). L'utilisation directe des expressions fournies par l'utilisateur pour g├®n├®rer du JavaScript ex├®cutable permet aux attaquants de contourner les m├®canismes de s├®curit├® et d'ex├®cuter du code malveillant dans le contexte de l'application.
Explication Technique pour les D├®fenseurs
Le package expr-eval pr├®sente une vuln├®rabilit├® d'ex├®cution de code via l'API toJSFunction() car il ne neutralise pas, ou neutralise de mani├¿re inad├®quate, certains caract├¿res sp├®ciaux. Cela permet aux attaquants de cr├®er des expressions malveillantes qui peuvent ├¬tre compil├®es en code natif et ex├®cut├®es dans le contexte de l'application.
- Art
- Causes
- Crafts
- Dance
- Drinks
- Film
- Fitness
- Food
- Jocuri
- Gardening
- Health
- Home
- Literature
- Music
- Networking
- Alte
- Party
- Religion
- Shopping
- Sports
- Theater
- Wellness
- Cybersecurity