xml-crypto - это библиотека цифровой подписи и шифрования XML для Node.js. В затронутых версиях конфигурация по умолчанию не проверяет авто…

xml-crypto - это библиотека цифровой подписи и шифрования XML для Node.js. В затронутых версиях конфигурация по умолчанию не проверяет авторизацию подписывающего, она только проверяет действительность подписи в соответствии с разделом 3.2.2 спецификации w3 xmldsig-core-20080610. Таким образом, без дополнительных шагов валидации конфигурация по умолчанию позволяет злоумышленнику повторно подписать XML-документ, поместить сертификат в элемент `<KeyInfo />` и пройти проверки по умолчанию в `xml-crypto`. В результате `xml-crypto` по умолчанию доверяет любому сертификату, предоставленному через цифровой подписанный XML-документ `<KeyInfo />`. `xml-crypto` предпочитает использовать любой сертификат, предоставленный через цифровой подписанный XML-документ `<KeyInfo />`, даже если библиотека была настроена на использование конкретного сертификата (`publicCert`) для целей проверки подписи. Злоумышленник может подделать проверку подписи, изменив XML-документ и заменив существующую подпись на подпись, сгенерированную с помощью злонамеренного закрытого ключа (созданного нападающим), и прикрепив сертификат этого закрытого ключа к элементу `<KeyInfo />`. Эта уязвимость является комбинацией изменений, введенных в `4.0.0` по запросу на вытягивание 301 / коммитом `c2b83f98` и была устранена в версии 6.0.0 с запросом на вытягивание 445 / коммитом `21201723d`. Пользователям рекомендуется обновиться. Пользователям, которые не могут обновиться, рекомендуется либо проверять сертификат, извлеченный с помощью `getCertFromKeyInfo`, относительно доверенных сертификатов перед тем, как принимать результаты валидации, либо установить `getCertFromKeyInfo` в `xml-crypto` на `() => undefined`, заставив `xml-crypto` использовать явно настроенные `publicCert` или `privateKey` для проверки подписи.