Docker устраняет критическую уязвимость RCE в вложенной зависимости, upstream-исправление для LangChain.js

Основное обновление

Docker выявил критическую уязвимость удаленного выполнения кода (CVE-2025-12735), исходящую из JavaScript-оценщика выражений expr-eval, используемого на трех уровнях в нескольких проектах, исправил свои Hardened Images, заменив expr-eval на поддерживаемую альтернативу (math-expression-evaluator), и отправил исправление в upstream для LangChain.js, чтобы downstream-проекты (включая затронутые образы Kibana и приложения на базе LLM) получили постоянное решение. (docker.com)

Почему это важно

Это событие в области безопасности цепочки поставок имеет высокое влияние и практические последствия: уязвимость позволяла выполнять произвольный код через специально подготовленные выражения в неподдерживаемой вложенной зависимости, а LangChain.js — основа для многих приложений LLM — подтянул эту зависимость через свое транзитивное дерево, подвергая риску сотни тысяч до миллионов еженедельных пользователей. Подход Docker (доставка закаленного образа для немедленной защиты и отправка замены в upstream, чтобы уязвимость была устранена на источнике) сокращает окно, в течение которого поставщики или downstream-сборки повторно вводят проблему. На практике команды, работающие с Kibana, LangChain.js или любым приложением, которое может транзитивно включать expr-eval, должны проверить свои графы зависимостей, обновиться до релизов LangChain.js, которые включают upstream-исправление Docker (или применить эквивалентный патч), пересобрать и развернуть контейнерные образы, которые включают закаленное исправление, и убедиться, что сканирование зависимостей CI/CD и проверки SBOM выявляют аналогичные вложенные риски в будущем. (docker.com)

Источник

• Источник