Yaygın olarak kullanılan JavaScript form veri kütüphanesinde kritik bir güvenlik açığı keşfedilmiştir ve potansiyel olarak milyonlarca uygulamayı kod yürütme saldırılarına maruz bırakmıştır.
CVE-2025-7783 atanan güvenlik açığı, kütüphanenin çok partili form kodlu veriler için sınır değerleri oluşturmak için öngörülebilir Math.random () işlevini kullanmasından kaynaklanmaktadır ve saldırganların HTTP isteklerini manipüle etmesine ve kötü amaçlı parametreleri arka uç sistemlerine enjekte etmesine izin verir.
Key Takeaways
1. form-data library uses predictable Math.random(), enabling parameter injection attacks.
2. Millions of apps vulnerable across versions <2.5.4, 3.0.0-3.0.3, 4.0.0-4.0.3.
3. Upgrade to 4.0.4, 3.0.4, or 2.5.4 immediately.
Güvenlik açığının teknik detayları
Github’da yayınlanan danışma, güvenlik açığının form veri kütüphanesinin temel işlevselliği içinde tek bir kod satırında bulunduğunu belirtir. Özellikle, form_data.js dosyasının 347 satırının 347’si sorunlu kodu içerir: sınır += math.floor (Math.random () * 10) .toString (16);.
Bu uygulama, bir saldırgan aynı sözde rastgele sayı jeneratör (PRNG) durumundan sıralı değerleri gözlemleyebildiğinde öngörülebilir olan sahte rasgele numaralar üreten JavaScript’in Math.random () işlevini kullanır.
Form veri kütüphanesi, web uygulamalarına formlar ve dosya yüklemeleri göndermek için okunabilir “çok partili/form verileri” akışları oluşturur.
Çok taraflı verilerin farklı bölümlerini ayırmak için sınırlar oluştururken, kütüphane, sofistike saldırganlar tarafından tahmin edilebilecek Math.random () değerlerine dayanır.
Güvenlik araştırmacıları, hedef uygulama tarafından üretilen diğer Math.random () değerlerini gözlemleyerek saldırganların PRNG durumunu belirleyebileceğini ve gelecekteki sınır değerlerini yüksek doğrulukla tahmin edebileceğini göstermiştir.
Güvenlik açığı, 2.5.4’ün altındaki sürümler, 3.0.0 ila 3.0.3 sürümleri ve 4.0.0 ila 4.0.3 sürümleri de dahil olmak üzere popüler NPM paketinin birçok sürümünü etkiler.
Bu, çok partili form gönderimlerini ve dosya yüklemelerini işlemek için form veri kütüphanesini kullanan uygulamaların önemli bir bölümünü temsil eder.
Bir uygulamanın savunmasız olması için iki koşul karşılanmalıdır: Uygulama, kullanıcı tarafından kontrol edilen verileri diğer sistemlere göndermek için form verileri kullanmalıdır ve gözlemlenebilir kanallar aracılığıyla Math.random () değerlerini ortaya çıkarmalıdır.
Ortak senaryolar, openTelemetry’nin ön uç ve arka uç sistemlerinde korelasyon için rastgele kimlik üretimini nasıl uyguladığına benzer şekilde, dağıtılmış izleme için matematik.random () kullanarak istek kimlikleri oluşturan uygulamaları içerir.
Saldırı metodolojisi, undici HTTP istemci kitaplığında yakın zamanda keşfedilen bir güvenlik açığını yakından yansıtır.
Saldırganlar, tahmini sınır değerleri içeren yükler ve ardından ek, tamamen saldırgan kontrollü alanlar oluşturabilir.
Bu, giriş sterilizasyonunu etkili bir şekilde atlar ve keyfi parametrelerin arka uç isteklerine enjeksiyonunu sağlar.
Hedef sistemin tekrarlanan parametreleri nasıl ele aldığına bağlı olarak, saldırganlar yeni değerleri ekleyebilir veya mevcut olanları tamamen üzerine yazabilir.
Güvenlik açığı, hem gizlilik hem de bütünlük üzerinde yüksek etkiyi yansıtan bir CVSS V4 taban skoru ile kritik bir şiddet derecesi verilmiştir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Form-Veri Kütüphanesi (NPM Paketi)- Sürümler <2.5.4- Sürümler 3.0.0- 3.0.3- Sürümler 4.0.0- 4.0.3 |
| Darbe | -Parametre Enjeksiyon Saldırıları Arka Uç Sistemlerinde Potans Deli Kod Yürütme |
| Önkoşuldan istismar | – Uygulama, kullanıcı tarafından kontrol edilen veri ile form verileri kullanır- matematik () Saldırgan tarafından gözlemlenebilir Math.random () Değerleri- PRNG durumunu sıralı değerlerden tahmin etme yeteneği- parametre manipülasyonuna karşı savunmasız hedef sistem |
| CVSS 4.0 puanı | 9.4 (kritik) |
Azaltma
Yamalar, form veri kütüphanesinin etkilenen tüm sürüm dallarında yayınlanmıştır.
Kullanıcılar, mevcut ana sürümlerine bağlı olarak hemen 4.0.4, 3.0.4 veya 2.5.4 sürümüne yükseltilmelidir.
Yamalar, öngörülebilir Math.random () uygulamasını, sınır değeri yaratma için kriptografik olarak güvenli rastgele sayı üretimi ile değiştirir.
Kuruluşlar, form veri kütüphanesini kullanarak anında uygulamaların envanterini yürütmeli ve güncellemelere maruz kalma riskine göre öncelik vermelidir.
Ayrıca, güvenlik ekipleri, Math.random () değerlerinin potansiyel saldırganlar için gözlemlenebileceği diğer örnekler için uygulamaları gözden geçirmelidir, çünkü bu, belirli form verilerinin ötesinde daha geniş bir güvenlik açığı sınıfını temsil eder.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi