热门Forge库修复签名验证绕过漏洞
node-forge软件包(一个流行的JavaScript密码学库)中存在漏洞,可通过构造看似有效的数据来绕过签名验证。
该漏洞被追踪为CVE-2025-12816,被评为高危等级。它源于该库的ASN.1验证机制,该机制允许畸形数据即使密码学无效也能通过检查。
美国国家漏洞数据库(NVD)中的漏洞描述写道:“node-forge 1.3.1及更早版本中的解释冲突漏洞使未经认证的攻击者能够构造ASN.1结构来使模式验证不同步,产生语义分歧,可能绕过下游密码学验证和安全决策。”
Palo Alto Networks的Hunter Wodzenski发现了该漏洞,并负责任地报告给了node-forge开发人员。
研究人员警告说,依赖node-forge来强制执行ASN.1衍生密码学协议结构和完整性的应用程序可能被诱骗验证畸形数据,并提供了一个概念证明,演示了伪造的有效载荷如何欺骗验证机制。
卡内基梅隆大学CERT-CC的安全公告解释说,影响因应用程序而异,可能包括身份验证绕过、签名数据篡改和证书相关功能的滥用。
CERT-CC警告说:“在密码学验证在信任决策中起核心作用的环境中,潜在影响可能很显著。”
考虑到node-forge非常流行,在Node包管理器(NPM)注册表上每周下载量接近2600万,影响可能很重大。
该库被需要在JavaScript环境中实现密码学和公钥基础设施(PKI)功能的项目使用。
修复已于今天早些时候在1.3.2版本中发布。建议使用node-forge的开发人员尽快切换到最新版本。
广泛使用的开源项目中的漏洞在其公开披露和补丁可用后可能持续很长时间。这可能由于各种原因发生,环境复杂性和需要测试新代码是其中一些原因。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
