JavaScript函式庫「form-data」爆嚴重漏洞 個資恐遭外洩

記者孫敬／編譯

近期JavaScript函式庫「form-data」 驚傳嚴重資安漏洞！漏洞編號CVE-2025-7783，主要藏在程式碼中一個看似無害的「亂數」產生機制裡，該漏洞恐導致個人資料外洩、被植入惡意程式。

延伸閱讀：Windows 11重開機更流暢！微軟推「快速機器復原」加速自動修復

駭客如何鑽漏洞？「偽亂數」成突破口，能假造資料騙過系統

簡單來說，「form-data」函式庫是用來處理網頁表單和檔案上傳，當你填寫表格或上傳照片時，這個軟體會產生一些「邊界值」來區分不同的資料區塊。問題就出在，它用的是一種叫做 Math.random() 的偽亂數產生器。

資安專家發現，這種「偽亂數」並非真的隨機，技術能力好的駭客只要觀察網站系統產生的一些數值，就能 「預測」到下一個邊界值，這就像是掌握了遊戲規則，可以提前預知出牌順序。

駭客利用這個特性，就能在資料中偷偷插入惡意的內容。想像一下，你上傳了一張看似普通的照片，但駭客卻利用這個漏洞，在照片的資料流中夾帶惡意指令。這些惡意指令就能繞過網站的安全檢查，直接被網站的後台系統執行。這可能導致你的帳號密碼被竊取、個人資料外洩，甚至讓你的電腦被遠端操控。

這個漏洞影響範圍很廣，許多版本的 form-data 套件都有問題，包括：

• 2.5.4 以下的版本
• 3.0.0 到 3.0.3 的版本
• 4.0.0 到 4.0.3 的版本

誰會受影響？如何自保？

如果你使用的網站或應用程式，是用 form-data 來處理資料傳輸，而且程式碼中有些地方會洩漏 Math.random() 產生的數值（例如用於生成某些系統識別碼），那麼這些網站就可能受到影響。

這個漏洞被評為 「嚴重」等級，代表它對資料的機密性和完整性都有高度威脅。好消息是，開發者已經發布了修補程式！

給一般使用者：

• 留意資安警訊： 關注你常用的網站或App是否有發布更新通知。
• 保持軟體最新： 隨時更新你的作業系統、瀏覽器和常用的應用程式到最新版本。

給網站管理者和開發者：

• 立即檢查： 盤點你所有使用 form-data 函式庫的應用程式。
• 優先更新： 務必將 form-data 函式庫更新到最新且已修補的版本，例如 4.0.4、3.0.4 或 2.5.4（依你目前使用的主要版本而定）。新的版本已經改用更安全的加密亂數生成方式。
• 全面檢視： 檢查你的程式碼中是否還有其他地方使用了 Math.random() 且可能被外部觀察，這可能是其他潛在漏洞的源頭。

資料來源：Cyber Security News

瀏覽 10,160 次