CVE-2025-7783

Nome do Software Vulnerável e Versões Afetadas Versões do form-data < 2.5.4 Versões do form-data de 3.0.0 a 3.0.3 Versões do form-data de 4.0.0 a 4.0.3

Descrição Existe uma vulnerabilidade na biblioteca JavaScript form-data devido ao uso de valores insuficientemente aleatórios na geração de valores de boundary para dados codificados em formulário multipart. Essa previsibilidade permite que atacantes manipulem requisições HTTP, potencialmente injetando parâmetros maliciosos em sistemas de backend. A vulnerabilidade surge da utilização da função Math.random() pela biblioteca, que é conhecida por ser pseudoaleatória e previsível. Um atacante que consiga observar os valores de Math.random() gerados pela aplicação pode prever valores futuros, incluindo o valor de boundary, e construir um payload malicioso. Isso pode levar à Poluição de Parâmetros HTTP (HPP) e potencialmente à Execução Remota de Código (RCE). A vulnerabilidade requer que a aplicação utilize o form-data com dados controlados pelo usuário e exponha os valores de Math.random().

Recomendações Atualize para a versão 4.0.4 do form-data. Atualize para a versão 3.0.4 do form-data. Atualize para a versão 2.5.4 do form-data.