Node-forge ASN.1无限递归漏洞解析
概述
CVE-2025-66031是一个在node-forge库中发现的ASN.1无限递归漏洞,CVSS 4.0评分为8.7分,属于高危漏洞。
漏洞描述
Forge(也称为node-forge)是一个用JavaScript实现的传输层安全原生实现。在node-forge 1.3.1及以下版本中存在不受控递归漏洞,远程未认证攻击者能够构造深度ASN.1结构,触发无限递归解析。在解析不受信任的DER输入时,这会导致栈耗尽,从而造成拒绝服务(DoS)。该问题已在版本1.3.2中修复。
漏洞时间线
- 发布日期:2025年11月26日 23:15
- 最后修改:2025年11月26日 23:15
- 远程利用:是
- 来源:security-advisories@github.com
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Digitalbazaar | forge |
总计受影响厂商:1 | 产品:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.7 | CVSS 4.0 | 高危 | security-advisories@github.com |
解决方案
- 将node-forge更新到版本1.3.2或更高版本,修复深度ASN.1结构解析问题
- 避免解析不受信任的DER输入
参考链接
- https://github.com/digitalbazaar/forge/commit/260425c6167a38aae038697132483b5517b26451
- https://github.com/digitalbazaar/forge/security/advisories/GHSA-554w-wpv2-vw27
CWE - 通用弱点枚举
CWE-674:不受控递归
通用攻击模式枚举和分类(CAPEC)
- CAPEC-230:带有嵌套负载的序列化数据
- CAPEC-231:过大的序列化数据负载
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Forge(也称为node-forge)是一个用JavaScript实现的传输层安全原生实现... |
|
| 添加 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 添加 | CWE | CWE-674 | |
| 添加 | 参考 | https://github.com/digitalbazaar/forge/commit/260425c6167a38aae038697132483b5517b26451 | |
| 添加 | 参考 | https://github.com/digitalbazaar/forge/security/advisories/GHSA-554w-wpv2-vw27 |
新CVE接收:由security-advisories@github.com于2025年11月26日
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号