- Node-forge şifreleme kitaplığı kusuru (CVE-2025-12816), imza ve sertifika doğrulamanın atlanmasına izin verdi
- CERT-CC, kimlik doğrulamanın atlanması ve imzalı verilere müdahale edilmesi gibi risklere karşı uyarıyor
- Bakımcılar 1.3.2 sürümünü yayınladı; geliştiricilerin derhal güncelleme yapması istendi
Popüler bir JavaScript şifreleme kitaplığı, tehdit aktörlerinin kullanıcı hesaplarına sızmasına olanak tanıyacak şekilde savunmasızdır. Kitaplık o zamandan beri güncellendi ve kullanıcıların mümkün olan en kısa sürede yeni sürüme geçmeleri istendi.
Hata, yerel modüllere ihtiyaç duymadan şifreleme, şifre çözme, karma, dijital imzalar, TLS/SSL ve anahtar oluşturma gibi işlevler sağlayan popüler bir şifreleme aracı olan ‘node-forge’ paketinde bulundu.
Bu hata, bir saldırganın kütüphaneyi kandırarak kriptografik kontrolleri atlamasına ve imzanın veya sertifika doğrulamasının atlanmasına izin veren sahte bir ASN.1 veri yapısı oluşturmasına olanak tanıyor. CVE-2025-12816 olarak izlenir ve 8,6/10 (yüksek) ciddiyet puanı verilir. Özet Sözdizimi Gösterimi Bir (ASN.1), sertifikalardaki ve kriptografik işlemlerdeki verileri kodlamak için kullanılan standart bir formattır.
Önemli etki
Carnegie Mellon CERT-CC ayrıca, hatanın farklı şekillerde kötüye kullanılabileceğini ve kimlik doğrulamanın atlanması, imzalı verilerin temperlenmesi veya sertifikayla ilgili işlevlerin kötüye kullanılmasıyla sonuçlanabileceğini belirten bir güvenlik tavsiyesi yayınladı.
CERT-CC, “Kriptografik doğrulamanın güven kararlarında merkezi bir rol oynadığı ortamlarda, potansiyel etki önemli olabilir” dedi.
Node.js geliştiricilerinin bunu önemsemesi gerekir çünkü node-forge, sayısız web uygulaması ve hizmetinde kullanılan temel bir şifreleme kitaplığıdır. Aynı zamanda Node Package Manager (npm) kayıt defterinde neredeyse 26 milyon haftalık indirmeyle son derece popüler bir kütüphanedir.
Güvenlik açığı, Palo Alto Networks’ün siber güvenlik araştırmacıları tarafından keşfedildi ve bu hafta başında bir düzeltme yayınlayan node-forge yöneticilerine sorumlu bir şekilde bildirildi.
Düzeltme, kitaplığı 1.3.2 sürümüne getiriyor ve node-forge kullanan geliştiricilerin mümkün olan en kısa sürede yeni sürüme geçmeleri isteniyor. Genel bir kural olarak, yaygın olarak kullanılan güvenilir paketler bile kritik kusurlar içerebileceğinden, geliştiricilerin Node.js projelerindeki kriptografi bağımlılıklarını derhal güncellemesi gerekir.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.