Μια ευπάθεια στο πακέτο ‘node-forge’, μια δημοφιλής βιβλιοθήκη κρυπτογραφίας JavaScript, θα μπορούσε να αξιοποιηθεί για να παρακάμψει τις επαληθεύσεις υπογραφών δημιουργώντας δεδομένα που φαίνονται έγκυρα.
Το ελάττωμα παρακολουθείται ως CVE-2025-12816 και έλαβε βαθμολογία υψηλής σοβαρότητας. Προκύπτει από τον μηχανισμό επικύρωσης ASN.1 της βιβλιοθήκης, ο οποίος επιτρέπει σε δεδομένα με κακή μορφή να περνούν ελέγχους ακόμα και όταν είναι κρυπτογραφικά άκυρα.
“Μια ευπάθεια ερμηνείας-σύγκρουσης στις εκδόσεις node-forge 1.3.1 και προγενέστερες επιτρέπει στους μη επαληθευμένους εισβολείς να δημιουργήσουν δομές ASN.1 να αποσυγχρονίσουν τις επικυρώσεις σχημάτων, δημιουργώντας μια σημασιολογική απόκλιση που μπορεί να παρακάμψει τις κατάντη κρυπτογραφικές επαληθεύσεις και τις αποφάσεις ασφαλείας”, αναφέρεται. περιγραφή στην National Vulnerabilities Database (NVD).
Ο Hunter Wodzenski της Palo Alto Networks ανακάλυψε το ελάττωμα και το ανέφερε υπεύθυνα στους προγραμματιστές node-forge.
Ο ερευνητής προειδοποίησε ότι οι εφαρμογές που βασίζονται στο node-forge για την επιβολή της δομής και της ακεραιότητας των κρυπτογραφικών πρωτοκόλλων που προέρχονται από το ASN.1 μπορούν να εξαπατηθούν για να επικυρώσουν εσφαλμένα δεδομένα και παρείχαν μια απόδειξη της ιδέας που δείχνει πώς ένα πλαστό ωφέλιμο φορτίο θα μπορούσε να ξεγελάσει τον μηχανισμό επαλήθευσης.
Μια συμβουλή ασφαλείας από το Carnegie Mellon CERT-CC εξηγεί ότι ο αντίκτυπος ποικίλλει ανά εφαρμογή και μπορεί να περιλαμβάνει παράκαμψη ελέγχου ταυτότητας, υπογεγραμμένη παραβίαση δεδομένων και κακή χρήση λειτουργιών που σχετίζονται με πιστοποιητικά.
“Σε περιβάλλοντα όπου η κρυπτογραφική επαλήθευση παίζει κεντρικό ρόλο στις αποφάσεις εμπιστοσύνης, ο πιθανός αντίκτυπος μπορεί να είναι σημαντικός.” Το CERT-CC προειδοποιεί.
Ο αντίκτυπος μπορεί να είναι σημαντικός, λαμβάνοντας υπόψη ότι το node-forge είναι πολύ δημοφιλές σε σχεδόν 26 εκατομμύρια εβδομαδιαίες λήψεις στο μητρώο Node Package Manager (NPM).
Η βιβλιοθήκη χρησιμοποιείται από έργα που χρειάζονται κρυπτογραφική και λειτουργικότητα υποδομής δημόσιου κλειδιού (PKI) σε περιβάλλοντα JavaScript.
Μια ενημέρωση κώδικα κυκλοφόρησε νωρίτερα σήμερα στην έκδοση 1.3.2. Συνιστάται στους προγραμματιστές που χρησιμοποιούν το node-forge να μεταβούν στην πιο πρόσφατη παραλλαγή το συντομότερο δυνατό.
Τα ελαττώματα σε έργα ανοιχτού κώδικα που χρησιμοποιούνται ευρέως μπορεί να παραμείνουν για μεγάλο χρονικό διάστημα μετά τη δημόσια αποκάλυψή τους και τη διαθεσιμότητα μιας ενημέρωσης κώδικα. Αυτό μπορεί να συμβεί για διάφορους λόγους, μερικοί από τους οποίους είναι η πολυπλοκότητα του περιβάλλοντος και η ανάγκη δοκιμής του νέου κώδικα.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
