Plateforme
nodejs
Composant
form-data
Corrigé dans
2.5.5
3.0.1
4.0.1
2.5.4
La vulnérabilité CVE-2025-7783 affecte le module form-data. Elle est due à l'utilisation de Math.random() pour générer la valeur de délimitation des données multipart, rendant cette valeur prédictible si un attaquant peut observer d'autres valeurs produites par Math.random() et contrôler un champ de la requête. Cela peut mener à une divulgation d'informations sensibles. La version affectée est antérieure à 2.5.4, qui corrige ce problème.
La vulnérabilité CVE-2025-7783 dans la bibliothèque 'form-data' découle de l'utilisation de Math.random() pour générer la limite (boundary) pour les données codées en format multipart/form-data. Si un attaquant peut observer d'autres valeurs produites par Math.random() au sein de l'application cible et qu'il peut également contrôler un champ d'une requête utilisant 'form-data', un risque de sécurité important se présente. Étant donné que les valeurs de Math.random() sont pseudo-aléatoires et prévisibles (comme détaillé dans https://blog.securityevaluators.com/hacking-the-javascript-lottery-80cc437e3b7f), un attaquant qui peut observer quelques valeurs séquentielles peut potentiellement prédire la limite utilisée dans les requêtes ultérieures. Cela pourrait permettre de manipuler la requête multipart, conduisant potentiellement à une injection de code ou à une altération des données.
L'exploitation de cette vulnérabilité nécessite une compréhension approfondie du fonctionnement interne de l'application et la capacité d'observer et de manipuler les requêtes HTTP. L'attaquant doit être en mesure d'influencer un champ de la requête multipart et, simultanément, d'observer les valeurs générées par Math.random() afin de prédire la limite. Le succès de l'exploitation dépend de la capacité de l'attaquant à corréler les observations de Math.random() avec la limite utilisée dans la requête. La complexité de l'exploitation varie en fonction de l'architecture de l'application et des mesures de sécurité mises en œuvre.
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
La solution recommandée est de mettre à jour la bibliothèque 'form-data' à la version 2.5.4 ou supérieure. Cette version corrige la vulnérabilité en utilisant une méthode plus sécurisée et moins prévisible pour la génération de la limite. De plus, examinez le code de votre application pour identifier toute dépendance à Math.random() dans des contextes sensibles et envisagez des alternatives plus robustes pour la génération de nombres aléatoires, en particulier lorsque la sécurité est primordiale. La mise en œuvre d'un système de journalisation et de surveillance peut aider à détecter les tentatives d'exploitation.
Actualice la biblioteca form-data a la versión 2.5.4 o superior, o a una versión posterior a 3.0.3 o 4.0.3. Esto solucionará la vulnerabilidad de valores aleatorios insuficientes al elegir el límite, previniendo ataques de HTTP Parameter Pollution (HPP). Ejecute `npm install form-data@latest` o `yarn add form-data@latest` para obtener la versión más reciente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
'form-data' est une bibliothèque JavaScript qui simplifie la création de requêtes HTTP avec des données codées dans un format multipart/form-data, couramment utilisé pour les téléchargements de fichiers et l'envoi de données complexes via des formulaires web.
La version 2.5.4 corrige la vulnérabilité CVE-2025-7783, qui permet à un attaquant de prédire la limite utilisée dans les requêtes multipart/form-data, ce qui pourrait entraîner une manipulation de la requête.
Si vous utilisez une version de 'form-data' antérieure à 2.5.4, votre application peut être vulnérable. Examinez les dépendances de votre projet et mettez à jour la bibliothèque.
Oui, il existe d'autres bibliothèques JavaScript pour gérer les requêtes multipart/form-data, mais il est important d'évaluer leur sécurité et leur adéquation à vos besoins.
En plus de mettre à jour 'form-data', envisagez de mettre en œuvre une validation d'entrée robuste, une désinfection des données et une surveillance de la sécurité pour détecter et prévenir les attaques.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.