CVE-2025-22150

Nome do Software Vulnerável e Versões Afetadas Versões do undici 4.5.0 até 5.28.4 Versões do undici 4.5.0 até 6.21.0 Versões do undici 4.5.0 até 7.2.2

Descrição O problema surge do uso do Math.random() pelo undici para escolher o boundary de uma requisição multipart/form-data. É sabido que a saída de Math.random() pode ser prevista se vários de seus valores gerados forem conhecidos. Se houver um mecanismo em um aplicativo que envia requisições multipart para um site controlado por um atacante, eles podem usar isso para vazar os valores necessários. Portanto, um atacante pode adulterar as requisições enviadas às APIs de backend se certas condições forem atendidas.

Recomendações Para as versões do undici 4.5.0 até 5.28.4, atualize para a versão 5.28.5 ou posterior. Para as versões do undici 4.5.0 até 6.21.0, atualize para a versão 6.21.1 ou posterior. Para as versões do undici 4.5.0 até 7.2.2, atualize para a versão 7.2.3 ou posterior. Como medida de contorno temporária, não envie requisições multipart para servidores controlados por atacantes.