npmパッケージにマルチパートフォーム脆弱性検出

npmパッケージにマルチパートフォーム脆弱性検出 未分類

npmパッケージ「form-data」に新たな脆弱性が発見され、アップデートが公開された。この脆弱性は「CVE-2025-7783」と名付けられ、擬似乱数関数を用いて生成された「boundary値」を利用している。具体的には、この値の衝突を利用して意図しないデータをリクエストに注入することが可能になる恐れがある。評価機関harboristは、この脆弱性に対してCVSSv4.0でのスコアを「9.4」とし、重要度を最も高い「クリティカル」と評価している。現在、バージョン4.0.4、3.0.4、2.5.4で脆弱性は修正されており、注意が必要な状況だ。
Read more

コメント

タイトルとURLをコピーしました