Docker 修复嵌套依赖中的关键 RCE，向 LangChain.js 提交上游修复

关键更新

Docker 识别出一个源自 expr-eval JavaScript 表达式评估器的关键远程代码执行漏洞 (CVE-2025-12735)，该评估器在多个项目中嵌套使用了三层，修补了他们的强化镜像，通过用一个受维护的替代品 (math-expression-evaluator) 替换 expr-eval，并将修复提交给 LangChain.js，以便下游项目（包括受影响的 Kibana 镜像和 LLM 驱动的应用）获得永久修复。(docker.com)

重要性

这是一个具有高影响力的供应链安全事件，具有实际后果：该漏洞通过在一个未维护的嵌套依赖中构造的表达式启用了任意代码执行，而 LangChain.js——许多 LLM 应用的基础——通过其传递树引入了该依赖，暴露了每周数十万到数百万的用户。Docker 的方法（发布一个强化镜像以实现即时保护，并将替换方案上游，以便从源头移除漏洞）减少了供应商或下游构建重新引入问题的窗口。实际上，运行 Kibana、LangChain.js 或任何可能通过传递包含 expr-eval 的应用的团队，必须验证他们的依赖图，更新到包含 Docker 上游修复的 LangChain.js 版本（或应用等效补丁），重建并重新部署包含强化修复的容器镜像，并确保 CI/CD 依赖扫描和 SBOM 检查能够捕获未来类似的嵌套风险。(docker.com)

来源

• 来源