Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - form-data 是用於建立可讀取 multipart/form-data 串流的程式庫。在 的 4.0.5版本中，'FormData#append' 的 'field' 引數和 'filename' 選項會逐字串聯到 'Content-Disposition' 標頭中，而不會逸出歸位 （CR）、換行 （LF） 或雙引號 （） 字元。將攻擊者控制的資料以欄位名稱或檔案名稱傳遞的應用程式 （例如，將 JSON 物件金鑰轉換為多部分欄位名稱的 API 閘道） 允許攻擊者終止標頭行並插入其他標頭，或將整個額外的多部分部分走私到應用程式轉送至後端的請求中。這可讓攻擊者新增或覆寫表單欄位 （例如
    設定下游剖析器看到的 'is_admin=true'）。這是 CWE-93（CRLF 注射）的實例。此修正會將欄位名稱和檔案名稱中的 CR、LF 和 ''逸出為 '%0D'、'%0A' 和 '%22'，以符合 WHATWG HTML multipart/form-data 編碼演算法使用的序列化瀏覽器。惡意利用需要取用者應用程式使用不受信任的輸入作為欄位名稱或檔案名稱;僅使用固定/受信任欄位名稱的應用程式不會受到影響。已在 2.5.6、3.0.5 和 4.0.6 版中修正。(CVE-2026-12143)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

偵測

Linux Distros 未修補弱點：CVE-2026-12143

high Nessus Plugin ID 320982

版本 1.2

版本 1.1

版本 1.2 Jun 17, 2026, 9:08 PM CVSS metrics ("CVSSv2 score" set to 2.1) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:H/Au:S/C:N/I:P/A:N") CVSS metrics ("CVSSv3 score" set to 5.0) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N") CVSSv2 severity (based on CVE-2026-12143, severity decreased from "Medium" to "Low") Detection (updated detection logic) Plugin metadata Plugin Feed: 202606172108
版本 1.1 Jun 14, 2026, 11:22 AM New Plugin Feed: 202606141122