Form-data - CVE-2025-7783

Date de publication : 13/10/2025

L’utilisation de données non aléatoires dans la fonction Math.random() de form-data permet à un attaquant non authentifié, en envoyant des requêtes HTTP spécifiquement forgées, de porter atteinte à la confidentialité et l’intégrité des données.

CVE-2025-7783

[Score CVSS v3.1: 8.7]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Atteinte à la confidentialité des données
Atteinte à l’intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-330: Use of Insufficiently Random Values

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Élevée
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

form-data :

Versions antérieures à 2.5.4, versions 3.0.x antérieures à 3.0.4 et 4.0.x antérieures à 4.0.4

IBM Db2 :

Db2 Intelligence Center versions 1.1.0.0 et 1.1.1.0

Solutions ou recommandations

Mettre à jour form-data vers la version 2.5.4, 3.0.4, 4.0.4 ou ultérieure.

Mettre à jour IBM Db2 Intelligence Center vers la version 1.1.2.0 ou ultérieure.

Des informations complémentaires sont disponibles dans les bulletins de form-data et d’IBM.