CVE-2026-41507
KrytyczneStreszczenie
math-codegen generuje kod z wyrażeń matematycznych. Przed wersją 0.4.3, zawartość literałów stringowych przekazywanych do cg.parse() była wstrzykiwana bezpośrednio do ciała nowej funkcji bez sanitizacji, co umożliwiało atakującym wykonywanie dowolnych poleceń systemowych.
Ocena ryzyka
Aplikacje, które udostępniają punkt końcowy do oceny matematycznej i przekazują dane użytkownika do cg.parse(), są narażone na pełne zdalne wykonanie kodu (RCE). Może to prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 0.4.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić odpowiednie mechanizmy sanitizacji danych wejściowych przed ich przetworzeniem.
Oryginalny opis (angielski, źródło NVD)
math-codegen generates code from mathematical expressions. Prior to version 0.4.3, string literal content passed to cg.parse() is injected verbatim into a new Function() body without sanitization. This allows an attacker to execute arbitrary system commands when user-controlled input reaches the parser. Any application exposing a math evaluation endpoint where user input flows into cg.parse() is vulnerable to full RCE. This issue has been patched in version 0.4.3.

