In der beliebten Kryptobibliothek node-forge wurde eine schwerwiegende Schwachstelle (CVE-2025-12816) entdeckt, die alle Versionen vor 1.3.2 betrifft. Die Lücke – ein Interpretation Conflict im ASN.1-Validator – erlaubt es entfernten, nicht authentifizierten Angreifern, speziell manipulierte ASN.1-Strukturen einzuschleusen und die interne Schema-Validierung zu „desynchronisieren“. Dadurch können sicherheitskritische Felder wie digitale Signaturen, MACs oder Integritätsprüfungen fehlerhaft interpretiert oder komplett übergangen werden.
Betroffen sind zentrale Komponenten wie X.509-, PKCS#7-, PKCS#12-, RSA- und Ed25519-Handling. Anwendungen, die node-forge für Zertifikatsvalidierung, Key-Handling oder Signaturprüfungen nutzen, können dadurch unbemerkt kompromittiert werden. Die Schwachstelle wurde als High Severity eingestuft (CVSS v4: 9.0-ähnlicher Impact auf Integrität, Netzwerk-exploitable, kein Benutzerinteraktion nötig).
Abhilfe schafft das Update auf die gepatchte Version 1.3.2. Entwickler sollten dringend prüfen, ob ihre Anwendungen node-forge-basierte ASN.1-Parsing- oder Signaturpfade nutzen und entsprechend patchen.
