CVE-2026-40897— Math.js: Unsafe object property setter in mathjs

Math.js: Unsafe object property setter in mathjs

Math.js is an extensive math library for JavaScript and Node.js. From 13.1.1 to before 15.2.0, a vulnerability allowed executing arbitrary JavaScript via the expression parser of mathjs. You can be affected when you have an application where users can evaluate arbitrary expressions using the mathjs expression parser. This vulnerability is fixed in 15.2.0.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-915

mathjs 安全漏洞

mathjs是Jos de Jong（个人开发者）的一个JavaScript 和 Node.js 的扩展数学库。它包括了灵活的表达式解析器，提供数字，大数值，复杂数值，单位，矩阵等等集成的解决方案。 mathjs 13.1.1至15.2.0之前版本存在安全漏洞，该漏洞源于表达式解析器允许执行任意JavaScript，可能导致用户评估任意表达式时受到影响。

N/A

N/A