CVE-2025-12816

Опубликовано: 25 нояб. 2025

Источник: nvd

CVSS3: 8.6

EPSS Низкий

Описание

An interpretation-conflict (CWE-436) vulnerability in node-forge versions 1.3.1 and earlier enables unauthenticated attackers to craft ASN.1 structures to desynchronize schema validations, yielding a semantic divergence that may bypass downstream cryptographic verifications and security decisions.

Ссылки

https://github.com/digitalbazaar/forge
Product
https://github.com/digitalbazaar/forge/pull/1124
Issue Tracking
Patch
https://github.com/digitalbazaar/forge/security/advisories/GHSA-5gfm-wpxj-wjgq
Exploit
Vendor Advisory
https://kb.cert.org/vuls/id/521113
Third Party Advisory
https://www.npmjs.com/package/node-forge
Product
https://www.kb.cert.org/vuls/id/521113
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:digitalbazaar:forge:*:*:*:*:*:node.js:*:*

Версия до 1.3.1 (включая)

EPSS

Процентиль: 19%

0.00059

Низкий

8.6 High

CVSS3

Дефекты

CWE-436

Связанные уязвимости

CVE-2025-12816

CVSS3: 8.6

ubuntu

2 месяца назад

CVE-2025-12816

CVSS3: 8.6

msrc

2 месяца назад

CVE-2025-12816

CVSS3: 8.6

debian

2 месяца назад

An interpretation-conflict (CWE-436) vulnerability in node-forge versi ...

GHSA-5gfm-wpxj-wjgq

CVSS3: 8.6

github

2 месяца назад

node-forge has an Interpretation Conflict vulnerability via its ASN.1 Validator Desynchronization

BDU:2025-15402

CVSS3: 8.6

fstec

2 месяца назад

Уязвимость функции asn1.validate() сценария forge/lib/asn1.js набора криптографических утилит и инструментов для разработки веб-приложений Forge, позволяющая нарушителю обойти ограничения безопасности

EPSS

Процентиль: 19%

0.00059

Низкий

8.6 High

CVSS3

Дефекты

CWE-436