Node-node-forge
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
8.7
Макс. EPSS
0.03162
Распределение по критичности
Критический
0
Высокий
5
Средний
2
Низкий
0
Также сопоставлено как (исходные строки): node-node-forge
Топ уязвимостей
CVE-2025-66031Forge (также называемый `node-forge`) является нативной реализацией Transport Layer Security в JavaScript. Уязвимость неконтролируемой рекурсии в версиях 1.3.1 и ниже позволяет удаленным, неаутентифицированным злоумышленникам создавать глубокие структуры ASN.1, которые вызывают безграничный рекурсивный разбор. Это приводит к отказу в обслуживании (DoS) через истощение стека при разборе ненадежных входов DER. Эта проблема была исправлена в версии 1.3.2.
CVE-2025-12816Уязвимость-конфликт интерпретации (CWE-436) в версиях 1.3.1 и ранее позволяет неаутентифицированным злоумышленникам создавать структуры ASN.1 для десинхронизации валидий схемы, что приводит к семантической расхождению, которая может обходить криптографические проверки и решения по безопасности.
CVE-2022-24772Forge (также называемый `node-forge`) — это собственная реализация Transport Layer Security на JavaScript. В версиях до 1.3.0 код проверки подписи RSA PKCS#1 v1.5 не проверяет наличие завершающих мусорных байтов после декодирования структуры ASN.1 `DigestInfo`. Это может позволить удалить байты заполнения и добавить мусорные данные для подделки подписи при использовании низкого открытого показателя степени. Проблема была решена в `node-forge` версии 1.3.0. В настоящее время нет известных обходных путей.
CVE-2022-24771Forge (также называемый `node-forge`) — это собственная реализация Transport Layer Security на JavaScript. В версиях до 1.3.0 код проверки подписи RSA PKCS#1 v1.5 недостаточно строг при проверке структуры алгоритма дайджеста. Это может позволить создать структуру, которая крадет байты заполнения и использует непроверенную часть сообщения, закодированного в PKCS#1, для подделки подписи при использовании низкого открытого показателя степени. Проблема была решена в `node-forge` версии 1.3.0. В настоящее время нет известных обходных путей.
CVE-2020-7720Пакет node-forge до версии 0.10.0 уязвим для загрязнения прототипов через функцию util.setPath. Примечание: Версия 0.10.0 - это критическое изменение, удаляющее уязвимые функции.
CVE-2025-66030Forge (также называемый `node-forge`) является нативным вариантом Transport Layer Security в JavaScript. Уязвимость Integer Overflow в версиях 1.3.1 и ниже позволяет удаленным, неаутентифицированным злоумышленникам создавать структуры ASN.1, содержащие OID, с негабаритными дугами. Эти дуги могут быть расшифрованы как меньшие, доверенные OID из-за 32-битного усечения побитого, что позволяет обойти решения о безопасности на основе OID. Этот вопрос был исправлен в версии 1.3.2.
CVE-2022-24773Forge (также называемый `node-forge`) — это собственная реализация Transport Layer Security на JavaScript. В версиях до 1.3.0 код проверки подписи RSA PKCS#1 v1.5 неправильно проверяет `DigestInfo` на наличие правильной структуры ASN.1. Это может привести к успешной проверке с подписями, содержащими недопустимые структуры, но допустимый дайджест. Проблема была решена в `node-forge` версии 1.3.0. В настоящее время нет известных обходных путей.