河北
一个流行的 JavaScript 加密库存在漏洞,可能使威胁行为者入侵用户账户。该库已经更新,用户被敦促尽快升级到新版本。
该漏洞是在“node-forge”包中发现的,这是一个流行的加密工具,提供加密、解密、哈希、数字签名、TLS/SSL 和密钥生成等功能,且无需本地模块。
该漏洞允许攻击者构造一个虚假的 ASN.1 数据结构,欺骗该库跳过加密检查,从而绕过签名或证书验证。该漏洞被标记为 CVE-2025-12816,严重性评分为 8.6/10(高)。抽象语法表示法(ASN.1)是一种用于编码证书和加密操作中数据的标准格式。
重大影响
卡内基梅隆大学CERT-CC还发布了一份安全通告,其中提到该漏洞可以通过多种方式被利用,可能导致身份验证被绕过、签名数据被篡改或证书相关功能被误用。
“在加密验证在信任决策中起着核心作用的环境中,潜在影响可能非常严重,”CERT-CC表示。
Node.js 开发者应该关注,因为 node-forge 是一个核心加密库,被众多网络应用和服务使用。它也是一个非常受欢迎的库,在 Node 包管理器 (npm) 上每周下载量接近 2600 万次。
这个漏洞是由帕洛阿尔托网络的网络安全研究人员发现的,并已向 node-forge 的维护者负责任地披露,他们在本周早些时候发布了修复。
此次修复将库升级到版本 1.3.2,使用 node-forge 的开发者应尽快切换到新版本。一般来说,开发者应及时更新 Node.js 项目中的加密库,因为即使是那些广泛使用且值得信赖的包,也可能存在严重缺陷。
来源网站 BleepingComputer
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
