一、 漏洞 CVE-2025-7783 基础信息
漏洞信息
# form-data中使用不安全的随机函数来选择boundary
## 概述
使用不足随机值的漏洞存在于 `form-data` 中,允许 HTTP 参数污染 (HPP)。此漏洞与程序文件 `lib/form_data.js` 相关。
## 影响版本
- `< 2.5.4`
- `3.0.0 - 3.0.3`
- `4.0.0 - 4.0.3`
## 细节
此漏洞允许攻击者通过使用不足随机值的方式,导致 HTTP 参数污染 (HPP),从而可能影响应用程序的安全性。
## 影响
这个漏洞可能会导致敏感信息泄露、跨站脚本攻击 (XSS) 或其他安全问题,具体取决于应用程序如何处理受污染的参数。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-7783 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | POC of CVE-2025-7783 | https://github.com/benweissmann/CVE-2025-7783-poc | POC详情 |
三、漏洞 CVE-2025-7783 的情报信息
-
标题: Usage of unsafe random function in form-data for choosing boundary · Advisory · form-data/form-data · GitHub -- 🔗来源链接
标签: third-party-advisory
神龙速读
-
标题: [Fix] Switch to using `crypto` random for boundary values · form-data/form-data@3d17230 · GitHub -- 🔗来源链接
标签: patch
神龙速读![[Fix] Switch to using `crypto` random for boundary values · form-data/form-data@3d17230 · GitHub](https://cvepdf.imfht.com:2443//ti_screenshot/2025-07-19/screenshot-full-2025-07-19T03-23-13.679Z-5817ebdae74594660707.webp)
- https://nvd.nist.gov/vuln/detail/CVE-2025-7783
四、漏洞 CVE-2025-7783 的评论
暂无评论