Skip to content

Asrar mared ghsa fjxv 7rqg 78g4 #6648

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Closed
asrar-mared wants to merge 2 commits into from
Closed

Asrar mared ghsa fjxv 7rqg 78g4 #6648

asrar-mared wants to merge 2 commits into from
+2 −2

Conversation

@asrar-mared
Copy link

@asrar-mared asrar-mared commented Jan 14, 2026

وصف طلب السحب: GHSA-fjxv-7rqq-78g4 – تحسين الاستشارة الأمنية لـ form-data

هذا الطلب يهدف إلى تحسين وتوثيق الاستشارة الأمنية المرتبطة بالثغرة الحرجة في مكتبة form-data، والمعروفة بـ:

🎯 الهدف من التعديل:
توضيح أن مكتبة form-data تستخدم دالة Math.random() غير الآمنة لتوليد حدود boundary في طلبات multipart/form-data، مما يجعلها قابلة للتنبؤ ويعرض التطبيقات لهجمات مثل:

  • HTTP Parameter Pollution
  • تسريب البيانات
  • استغلالات تعتمد على التنبؤ بالعشوائية

🔍 المصادر المرفقة:

  • تحليل أمني: Hacking the JavaScript Lottery (blog.securityevaluators.com in Bing)
  • تقرير HackerOne
  • مساهمة parrot4099 (hackerone.com in Bing)

✍️ اقتراح للوصف داخل GitHub:

`markdown
هذا التحديث يُحسّن وصف الثغرة GHSA-fjxv-7rqq-78g4 المرتبطة باستخدام غير آمن لـ Math.random() في مكتبة form-data.

تم توضيح التأثير الأمني، وإضافة روابط تحليل وتقارير خارجية، وتأكيد أن الإصدارات المتأثرة تشمل:

  • < 2.5.4
  • 3.0.0 – 3.0.3
  • 4.0.0 – 4.0.3

الإصدارات الآمنة تبدأ من [email protected].

هذا التحديث جزء من جهود السيادة السيبرانية لتوثيق الثغرات بدقة وتعزيز أمن المجتمع البرمجي.
`

@github-actions github-actions bot changed the base branch from main to asrar-mared/advisory-improvement-6648 January 14, 2026 02:13
@asrar-mared asrar-mared marked this pull request as draft January 14, 2026 02:14
@kdehl16-web
Copy link

kdehl16-web commented Jan 14, 2026

No more arabic

@taladrane taladrane added the invalid This doesn't seem right label Jan 15, 2026
@github-actions github-actions bot deleted the asrar-mared-GHSA-fjxv-7rqg-78g4 branch January 15, 2026 21:23
@shelbyc shelbyc closed this Jan 16, 2026
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

invalid This doesn't seem right

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

5 participants

@asrar-mared @kdehl16-web @shelbyc @taladrane