Lỗ hổng trong JavaScript khiến ứng dụng đối mặt nguy cơ bị thực thi mã từ

[Màu của em]

Một lỗ hổng vừa được phát hiện trong thư viện form-data trên npm. Với mã định danh CVE-2025-7783, lỗ hổng này ảnh hưởng đến hàng triệu ứng dụng web và API đang sử dụng JavaScript/Node.js trên toàn cầu, đặc biệt là trong các hệ thống backend, microservices và serverless. Nguyên nhân gốc rễ đến từ cách sinh chuỗi "boundary" không an toàn trong file "form_data.js", dòng 347: boundary += Math.floor(Math.random() * 10).toString(16); Đây là cách tạo ra chuỗi phân cách (boundary) giữa các phần dữ liệu trong biểu mẫu dạng multipart/form-data. Vấn đề là Math.random() không đủ ngẫu nhiên, nó chỉ là một...

Đọc bài gốc tại đây