Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-15402

Опубликовано: 25 нояб. 2025
Источник: fstec
CVSS3: 8.6
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции asn1.validate() сценария forge/lib/asn1.js набора криптографических утилит и инструментов для разработки веб-приложений Forge связана с возникновением конфликта интерпретаций при обработке данных на основе стандарта ASN.1. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности

Вендор

Digital Bazaar, Inc.

Наименование ПО

Forge

Версия ПО

до 1.3.2 (Forge)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/digitalbazaar/forge/commit/235ad3e70e4fdfdca4fdeb662dfba6588e2c38bd
https://github.com/microsoft/azurelinux/commit/d66c8749f2fafcb82917362ee519a746edde5d5f
https://github.com/digitalbazaar/forge/releases/tag/v1.3.2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 19%
0.00059
Низкий

8.6 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-12816

CVSS3: 8.6
ubuntu
2 месяца назад

An interpretation-conflict (CWE-436) vulnerability in node-forge versions 1.3.1 and earlier enables unauthenticated attackers to craft ASN.1 structures to desynchronize schema validations, yielding a semantic divergence that may bypass downstream cryptographic verifications and security decisions.

nvd логотип

CVE-2025-12816

CVSS3: 8.6
nvd
2 месяца назад

An interpretation-conflict (CWE-436) vulnerability in node-forge versions 1.3.1 and earlier enables unauthenticated attackers to craft ASN.1 structures to desynchronize schema validations, yielding a semantic divergence that may bypass downstream cryptographic verifications and security decisions.

msrc логотип

CVE-2025-12816

CVSS3: 8.6
msrc
2 месяца назад

CVE-2025-12816

debian логотип

CVE-2025-12816

CVSS3: 8.6
debian
2 месяца назад

An interpretation-conflict (CWE-436) vulnerability in node-forge versi ...

github логотип

GHSA-5gfm-wpxj-wjgq

CVSS3: 8.6
github
2 месяца назад

node-forge has an Interpretation Conflict vulnerability via its ASN.1 Validator Desynchronization

EPSS

Процентиль: 19%
0.00059
Низкий

8.6 High

CVSS3

7.8 High

CVSS2