В популярной библиотеке Forge исправлена уязвимость, позволявшая обходить проверку подписи

Главная » Программирование » JavaScript » В популярной библиотеке Forge исправлена уязвимость, позволявшая обходить проверку подписи

27.11.2025

Время чтения: 2 мин.

Уязвимость в пакете node-forge, популярной криптографической библиотеке JavaScript, может быть использована для обхода проверки подписи путём создания данных, которые выглядят достоверными.

Уязвимость отслеживается как CVE-2025-12816 и имеет высокий уровень опасности. Она связана с механизмом проверки ASN.1 в библиотеке, который позволяет неправильно сформированным данным проходить проверку, даже если они криптографически недействительны.

«Уязвимость, связанная с конфликтом интерпретаций, в node-forge версий 1.3.1 и более ранних позволяет злоумышленникам без аутентификации создавать структуры ASN.1 для десинхронизации проверки схем, что приводит к семантическому расхождению, которое может обойти последующие криптографические проверки и решения по обеспечению безопасности», — говорится в описании уязвимости в Национальной базе данных уязвимостей (NVD).

Хантер Водзенски из Palo Alto Networks обнаружил уязвимость и ответственно сообщил о ней разработчикам node-forge.

Исследователь предупредил, что приложения, использующие node-forge для обеспечения структуры и целостности криптографических протоколов на основе ASN.1, могут быть обмануты и начать проверять некорректные данные. Он также представил доказательство концепции, демонстрирующее, как поддельная полезная нагрузка может обмануть механизм проверки.

В рекомендациях по безопасности от Carnegie Mellon CERT-CC объясняется, что последствия зависят от конкретного приложения и могут включать обход аутентификации, подмену подписанных данных и неправомерное использование функций, связанных с сертификатами.

«В средах, где криптографическая проверка играет ключевую роль в принятии решений о доверии, потенциальный ущерб может быть значительным», — предупреждает CERT-CC.

Читать Как использовать режим инкогнито для работы в Интернете и повышения конфиденциальности

Ущерб может быть значительным, учитывая, что node-forge пользуется огромной популярностью: его скачивают почти 26 миллионов раз в неделю из реестра Node Package Manager (NPM).

Библиотека используется в проектах, которым нужны функции криптографии и инфраструктуры открытых ключей (PKI) в средах JavaScript.

Исправление было выпущено ранее сегодня в версии 1.3.2. Разработчикам, использующим node-forge, рекомендуется как можно скорее перейти на последнюю версию.

Ошибки в широко используемых проектах с открытым исходным кодом могут сохраняться в течение длительного времени после их публичного раскрытия и выпуска патча. Это может происходить по разным причинам, в том числе из-за сложности среды и необходимости тестирования нового кода.

Просмотров поста: 1

Редактор: AndreyEx

Рейтинг: 5 (1 голос)