expr-eval 라이브러리 취약점 (CVE-2025-12735) 긴급 보안 업데이트 권고: 원격 코드 실행 위험

최근 JavaScript 라이브러리인 expr-eval에서 심각한 취약점이 발견되어 긴급 보안 업데이트가 권고되고 있습니다. 이 취약점은 CVE-2025-12735로 추적되며, 공격자가 원격으로 악성 코드를 실행할 수 있도록 허용할 수 있습니다. 개발자들은 즉시 관련 내용을 확인하고, 필요한 조치를 취하여 시스템의 보안을 강화해야 합니다.

expr-eval 라이브러리란 무엇인가?

<p>expr-eval은 문자열로 표현된 수학적 표현식을 파싱하고 평가하는 데 사용되는 JavaScript 라이브러리입니다. 이 라이브러리는 웹 애플리케이션에서 계산기, 데이터 분석 도구, 표현식 기반 로직 등 다양한 용도로 활용됩니다. NPM에서 주간 80만 회 이상 다운로드될 정도로 널리 사용되는 라이브러리입니다.</p>

취약점 상세 내용 및 위험성

<p>CVE-2025-12735 취약점은 &quot;불충분한 입력 유효성 검사&quot;로 인해 발생합니다. 공격자가 evaluate() 함수에 신뢰할 수 없는 입력을 제공할 경우, 함수 객체 및 기타 위험한 값을 평가 컨텍스트에 주입할 수 있습니다. 이를 통해 샌드박스를 탈출하여 임의의 JavaScript 코드를 실행하고, 시스템 수준 명령을 실행하거나, 민감한 데이터에 접근하거나, 데이터를 유출하는 등의 악의적인 행위를 수행할 수 있습니다. 이 취약점은 CVSS 점수 9.8/10 (Critical)로 평가되었으며, 원격으로 악용 가능하고, 사용자 상호 작용이나 권한 상승 없이 시스템의 기밀성, 무결성, 가용성을 완전히 손상시킬 수 있는 심각한 문제입니다.</p>

영향을 받는 버전 및 해결 방법

<p>취약점에 영향을 받는 버전은 2.0.2 이하이며, 2.0.3 버전에서 패치되었습니다. 또한, 활발하게 유지 관리되는 포크 버전인 expr-eval-fork3.0.0으로 마이그레이션하여 위험을 완화할 수 있습니다. 사용자로부터 제공받은 입력을evaluate() 함수에 직접 전달하는 앱의 경우, 즉시 데이터 전달을 중단하고, 변수 객체를 래핑하거나 필터링하여 함수 및 프로토타입 수정 필드가 주입되지 않도록 해야 합니다. Pull Request #288을 통해 패치가 완료되었습니다.</p>

보안 권고 사항

<p>만약 expr-eval` 라이브러리를 사용하고 있다면, 다음 조치를 즉시 취하십시오.

• 라이브러리 업데이트: expr-eval 라이브러리를 2.0.3 이상 버전으로 업데이트하십시오.
• 포크 버전 마이그레이션: expr-eval-fork 3.0.0으로 마이그레이션하는 것을 고려하십시오.
• 입력 유효성 검사 강화: evaluate() 함수에 전달되는 모든 사용자 제공 입력에 대해 철저한 유효성 검사를 수행하십시오. 신뢰할 수 없는 데이터는 절대 직접 전달하지 마십시오.
• 변수 객체 보호: 변수 객체를 래핑하거나 필터링하여 악성 함수 또는 프로토타입 수정 필드가 주입되지 않도록 방지하십시오.
• 정기적인 보안 점검: 사용하는 라이브러리 및 프레임워크에 대한 보안 취약점 정보를 정기적으로 확인하고, 최신 보안 패치를 적용하십시오.

맺음말

expr-eval 라이브러리의 이번 취약점은 개발자가 사용하는 오픈소스 라이브러리에 대한 보안 점검의 중요성을 다시 한번 강조합니다. 신속한 업데이트와 안전한 코딩 습관을 통해 잠재적인 보안 위협으로부터 시스템을 보호해야 합니다.