Lỗ hổng trong JavaScript khiến ứng dụng đối mặt nguy cơ bị thực thi mã từ

V
Màu của em
Phản hồi: 0

Màu của em

Thành viên nổi tiếng
Một lỗ hổng vừa được phát hiện trong thư viện form-data trên npm. Với mã định danh CVE-2025-7783, lỗ hổng này ảnh hưởng đến hàng triệu ứng dụng web và API đang sử dụng JavaScript/Node.js trên toàn cầu, đặc biệt là trong các hệ thống backend, microservices và serverless. Nguyên nhân gốc rễ đến từ cách sinh chuỗi "boundary" không an toàn trong file "form_data.js", dòng 347: boundary += Math.floor(Math.random() * 10).toString(16); Đây là cách tạo ra chuỗi phân cách (boundary) giữa các phần dữ liệu trong biểu mẫu dạng multipart/form-data. Vấn đề là Math.random() không đủ ngẫu nhiên, nó chỉ là một...

Đọc bài gốc tại đây
 


Đăng nhập một lần thảo luận tẹt ga
Back
Top