CVE-2025-12816

Опубликовано: 25 нояб. 2025

Источник: debian

EPSS Низкий

Описание

An interpretation-conflict (CWE-436) vulnerability in node-forge versions 1.3.1 and earlier enables unauthenticated attackers to craft ASN.1 structures to desynchronize schema validations, yielding a semantic divergence that may bypass downstream cryptographic verifications and security decisions.

Пакеты

Пакет	Статус	Версия исправления	Релиз	Тип
node-node-forge	removed			package
node-node-forge	postponed		bullseye	package

Примечания

https://github.com/digitalbazaar/forge/security/advisories/GHSA-5gfm-wpxj-wjgq
Fixed by: https://github.com/digitalbazaar/forge/commit/a05dd812ec2de46ece35a11ab4b46c9d283d1505 (v1.3.2)
https://github.com/digitalbazaar/forge/blob/235ad3e70e4fdfdca4fdeb662dfba6588e2c38bd/tests/security/cve-2025-12816.js (Tests added)

EPSS

Процентиль: 19%

0.00059

Низкий

Связанные уязвимости

CVE-2025-12816

CVSS3: 8.6

ubuntu

2 месяца назад

CVE-2025-12816

CVSS3: 8.6

nvd

2 месяца назад

CVE-2025-12816

CVSS3: 8.6

msrc

2 месяца назад

CVE-2025-12816

GHSA-5gfm-wpxj-wjgq

CVSS3: 8.6

github

2 месяца назад

node-forge has an Interpretation Conflict vulnerability via its ASN.1 Validator Desynchronization

BDU:2025-15402

CVSS3: 8.6

fstec

2 месяца назад

Уязвимость функции asn1.validate() сценария forge/lib/asn1.js набора криптографических утилит и инструментов для разработки веб-приложений Forge, позволяющая нарушителю обойти ограничения безопасности

EPSS

Процентиль: 19%

0.00059

Низкий