प्लेटफ़ॉर्म
nodejs
घटक
form-data
में ठीक किया गया
2.5.5
3.0.1
4.0.1
2.5.4
CVE-2025-7783, form-data लाइब्रेरी में एक भेद्यता है जो multipart form-encoded डेटा के लिए सीमा मान का चयन करने के लिए Math.random() का उपयोग करती है. यदि कोई हमलावर लक्ष्य एप्लिकेशन में Math.random द्वारा उत्पादित अन्य मानों का निरीक्षण कर सकता है और form-data का उपयोग करके किए गए अनुरोध के एक फ़ील्ड को नियंत्रित कर सकता है, तो यह एक सुरक्षा समस्या पैदा कर सकता है. Math.random() के मान छद्म-यादृच्छिक और अनुमानित हैं, इसलिए हमलावर कुछ अनुक्रमिक मानों का निरीक्षण करके PRNG की स्थिति निर्धारित कर सकता है और भविष्य के मानों का अनुमान लगा सकता है. यह भेद्यता संस्करण 2.5.4 में ठीक की गई है.
CVE-2025-7783 भेद्यता 'form-data' लाइब्रेरी में उत्पन्न होती है क्योंकि multipart फॉर्म-एन्कोडेड डेटा के लिए सीमा (boundary) उत्पन्न करने के लिए Math.random() का उपयोग किया जाता है। यदि कोई हमलावर लक्ष्य एप्लिकेशन के भीतर Math.random() द्वारा उत्पन्न अन्य मानों को देख सकता है और साथ ही 'form-data' का उपयोग करके भेजे गए अनुरोध के एक फ़ील्ड को नियंत्रित कर सकता है, तो एक महत्वपूर्ण सुरक्षा जोखिम उत्पन्न होता है। चूंकि Math.random() मान छद्म-यादृच्छिक और अनुमानित होते हैं (https://blog.securityevaluators.com/hacking-the-javascript-lottery-80cc437e3b7f में वर्णित अनुसार), कुछ क्रमिक मानों को देखने में सक्षम हमलावर बाद के अनुरोधों में उपयोग की जाने वाली सीमा का अनुमान लगा सकता है। इससे multipart अनुरोध में हेरफेर करना संभव हो सकता है, जिससे कोड इंजेक्शन या डेटा छेड़छाड़ हो सकती है।
इस भेद्यता का शोषण करने के लिए एप्लिकेशन के आंतरिक कामकाज की गहरी समझ और HTTP अनुरोधों को देखने और हेरफेर करने की क्षमता की आवश्यकता होती है। हमलावर को multipart अनुरोध में एक फ़ील्ड को प्रभावित करने और साथ ही Math.random() द्वारा उत्पन्न मानों को देखने में सक्षम होना चाहिए ताकि सीमा का अनुमान लगाया जा सके। शोषण की सफलता इस बात पर निर्भर करती है कि हमलावर Math.random() के अवलोकन को अनुरोध में उपयोग की जाने वाली सीमा से कैसे संबंधित कर सकता है। शोषण की जटिलता एप्लिकेशन के आर्किटेक्चर और लागू किए गए सुरक्षा उपायों पर निर्भर करती है।
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
CISA SSVC
अनुशंसित समाधान 'form-data' लाइब्रेरी को संस्करण 2.5.4 या उच्चतर में अपडेट करना है। यह संस्करण सीमा उत्पन्न करने के लिए अधिक सुरक्षित और कम अनुमानित विधि का उपयोग करके भेद्यता को संबोधित करता है। इसके अतिरिक्त, संवेदनशील संदर्भों में Math.random() पर निर्भरता की पहचान करने के लिए अपने एप्लिकेशन कोड की समीक्षा करें और सुरक्षा सर्वोच्च प्राथमिकता होने पर अधिक मजबूत यादृच्छिक संख्या पीढ़ी विकल्पों पर विचार करें। लॉगिंग और मॉनिटरिंग सिस्टम को लागू करने से इस भेद्यता के शोषण प्रयासों का पता लगाने में मदद मिल सकती है।
Actualice la biblioteca form-data a la versión 2.5.4 o superior, o a una versión posterior a 3.0.3 o 4.0.3. Esto solucionará la vulnerabilidad de valores aleatorios insuficientes al elegir el límite, previniendo ataques de HTTP Parameter Pollution (HPP). Ejecute `npm install form-data@latest` o `yarn add form-data@latest` para obtener la versión más reciente.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
'form-data' एक JavaScript लाइब्रेरी है जो Web फॉर्म के माध्यम से फ़ाइल अपलोड और जटिल डेटा भेजने के लिए आमतौर पर उपयोग किए जाने वाले multipart/form-data प्रारूप में डेटा के साथ HTTP अनुरोध बनाने को सरल बनाती है।
संस्करण 2.5.4 CVE-2025-7783 भेद्यता को ठीक करता है, जो एक हमलावर को multipart/form-data अनुरोध में उपयोग की जाने वाली सीमा का अनुमान लगाने की अनुमति दे सकता है, जिससे अनुरोध में हेरफेर हो सकता है।
यदि आप 'form-data' के 2.5.4 से पहले के संस्करण का उपयोग कर रहे हैं, तो आपका एप्लिकेशन कमजोर हो सकता है। अपने प्रोजेक्ट की निर्भरता की जांच करें और लाइब्रेरी को अपडेट करें।
हाँ, multipart/form-data अनुरोधों को संभालने के लिए अन्य JavaScript लाइब्रेरी हैं, लेकिन उनकी सुरक्षा और आपकी आवश्यकताओं के लिए उपयुक्तता का मूल्यांकन करना महत्वपूर्ण है।
'form-data' को अपडेट करने के अलावा, हमलों का पता लगाने और रोकने के लिए मजबूत इनपुट सत्यापन, डेटा सैनिटाइजेशन और सुरक्षा निगरानी को लागू करने पर विचार करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।