JavaScript 库高危漏洞致数百万应用面临代码执行攻击风险

漏洞概述

广泛使用的库高 JavaScript form-data 库近日曝出高危安全漏洞（CVE-2025-7783），可能导致数百万应用程序面临代码执行攻击风险。危漏万该漏洞源于该库使用可预测的数百 Math.random() 函数生成多部分表单编码数据的边界值，攻击者可借此操纵 HTTP 请求 ，用面将恶意参数注入后端系统。临代

核心要点：

form-data 库使用可预测的码执 Math.random() 函数 ，导致参数注入攻击成为可能受影响版本包括：<2.5.4、源码下载行攻险3.0.0-3.0.3、击风4.0.0-4.0.3应立即升级至 4.0.4、库高3.0.4 或 2.5.4 版本

技术细节分析

GitHub 发布的危漏万公告指出 ，该漏洞存在于 form-data 库核心功能的数百一行代码中。具体而言，用面form_data.js 文件的临代第 347 行包含问题代码：boundary += Math.floor(Math.random() * 10).toString(16);。

该实现使用 JavaScript 的高防服务器码执 Math.random() 函数生成伪随机数，当攻击者能够观察来自同一伪随机数生成器（PRNG）状态的行攻险连续值时，这些数值可以被预测 。

form-data 库用于创建可读的"multipart/form-data"流 ，以向 Web 应用程序提交表单和文件上传
。在生成分隔多部分数据的边界值时，该库依赖的服务器租用 Math.random() 值可能被高级攻击者预测  。安全研究人员已证实，通过观察目标应用程序产生的其他 Math.random() 值，攻击者可以确定 PRNG 状态并高精度预测未来的边界值。

影响范围与风险因素

该漏洞影响 npm 包的多个版本 ，包括 2.5.4 以下版本、3.0.0 至 3.0.3 版本以及 4.0.0 至 4.0.3 版本，云计算这意味着大量使用 form-data 库处理多部分表单提交和文件上传的应用程序面临风险。

风险因素

详情

受影响产品

form-data 库（npm 包）- 版本 < 2.5.4- 版本 3.0.0 – 3.0.3- 版本 4.0.0 – 4.0.3

影响

- 参数注入攻击- 可能导致后端系统代码执行

利用前提

- 应用程序使用 form-data 处理用户控制的数据- 攻击者可观察到 Math.random() 值- 能够从连续值预测 PRNG 状态- 目标系统易受参数操纵影响

CVSS 4.0 评分

9.4（高危）

缓解措施

form-data 库已为所有受影响版本分支发布补丁。用户应根据当前使用的主版本立即升级至 4.0.4 、3.0.4 或 2.5.4 版本 。这些补丁使用加密安全的随机数生成替代了可预测的 Math.random() 实现，香港云服务器用于创建边界值。

企业应立即清点使用 form-data 库的应用程序 ，并根据暴露风险确定更新优先级。此外，安全团队应检查应用程序中 Math.random() 值可能被潜在攻击者观察到的其他实例 ，因为这代表了一类比特定 form-data 问题更广泛的漏洞类别。

模板下载