Informazioni sul CVE-2025-22150
Undici Uses Insufficiently Random Values
CWE ID: CWE-330
Base Score (CVSS): N/A
CVE: CVE-2025-22150
Descrizione: Undici è un client HTTP/1.1. Dal version 4.5.0 in avanti fino a versioni 5.28.5, 6.21.1 e 7.2.3, undici utilizza `Math.random()` per scegliere il limite per una richiesta multipart/form-data. È noto che il valore restituito da `Math.random()` può essere previsto se diversi dei suoi valori generati sono noti. Se in un’app c’è un meccanismo che invia richieste multipart a un sito web controllato da un attaccante, possono usarlo per rivelare i valori necessari. Pertanto, un attaccante può manipolare le richieste che vengono inviate al backend API se si soddisfano determinate condizioni. Questo è stato corretto in versioni 5.28.5, 6.21.1 e 7.2.3. Come workaround, non inviare richieste multipart a server controllati da un attaccante.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/nodejs/undici/security/advisories/GHSA-c76h-2ccp-4975
- https://github.com/nodejs/undici/commit/711e20772764c29f6622ddc937c63b6eefdf07d0
- https://github.com/nodejs/undici/commit/c2d78cd19fe4f4c621424491e26ce299e65e934a
- https://github.com/nodejs/undici/commit/c3acc6050b781b827d80c86cbbab34f14458d385
- https://hackerone.com/reports/2913312
- https://blog.securityevaluators.com/hacking-the-javascript-lottery-80cc437e3b7f
- https://github.com/nodejs/undici/blob/8b06b8250907d92fead664b3368f1d2aa27c1f35/lib/web/fetch/body.js#L113
Prodotti interessati
- nodejs – undici
Relazioni con altri prodotti
Produttore:nodejs
Prodotto: undici
Anno: 2025
CWE: CWE-330
CVSS: 0.0