Kritieke kwetsbaarheid in form-data veroorzaakt door onveilige willekeurige functiekeuze
Geplaatst inBeveiligingsmeldingen

Kritieke kwetsbaarheid in form-data veroorzaakt door onveilige willekeurige functiekeuze

Er is een kritiek beveiligingslek ontdekt in het populaire npm-pakket form-data dat leidt tot HTTP Parameter Pollution (HPP). Deze kwetsbaarheid, aangeduid als CVE-2025-7783, maakt gebruik van onvoldoende willekeurige waarden en kan de veiligheid van systemen die afhankelijk zijn van dit pakket ernstig in gevaar brengen.

Dit probleem treft de versies van form-data die vallen onder < 2.5.4, alsmede van 3.0.0 tot en met 3.0.3, en van 4.0.0 tot en met 4.0.3. Het probleem bevindt zich specifiek in het bestand lib/form_data.js.

Overzicht

De kwetsbaarheid ontstond door het gebruik van een onveilige willekeurige functie bij de selectie van grenzen, wat resulteert in HPP. Dit kan een aanvaller in staat stellen om parameters ongewenst te wijzigen of samen te voegen met eventuele ernstige gevolgen voor dataintegriteit en vertrouwelijkheid.

Aanbevelingen

  • Upgrade het form-data pakket naar ten minste versie 2.5.4 of hoger dan 4.0.3.
  • Controleer en test uw applicaties grondig na de upgrade om ervoor te zorgen dat alle updates correct zijn doorgevoerd.

Bronnen

  • Meer informatie over de kwetsbaarheid en de aangedane versies is te vinden op de GitHub-beveiligingsadviespagina.
  • Bekijk de specifieke patch-commit op GitHub voor gedetailleerde informatie over de aangebrachte wijzigingen.

Vraag en Antwoord

Wat is CVE-2025-7783?

Deze kwetsbaarheid betreft het gebruik van onvoldoende willekeurige waarden in het form-data pakket, leidend tot HTTP Parameter Pollution.

Welke systemen zijn kwetsbaar voor CVE-2025-7783?

Systemen die versies van form-data gebruiken onder < 2.5.4, tussen 3.0.0 en 3.0.3, of tussen 4.0.0 en 4.0.3 zijn kwetsbaar.

Bestaat er al een patch of beveiligingsupdate?

Ja, gebruikers worden aangeraden om hun form-data versies te upgraden naar de meest recente versies die boven de kwetsbare versies vallen.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan onrechtmatig samengestelde parameters injecteren of bestaande parameters manipuleren wat kan leiden tot data lekken en integriteitsproblemen.

Wacht niet langer met updaten; zorg ervoor dat uw systemen vandaag nog beveiligd zijn.

Tags: