Node.js xml-crypto: XML-Signatur-Verification Bypass via Multiple SignedInfo References
Die kritische Sicherheitslücke CVE-2025-29774 wurde in der npm-Bibliothek xml-crypto entdeckt, die Versionen <= 6.0.0 betrifft. Durch das Einfügen mehrerer SignedInfo-Knoten in einem XML-Signaturblock kann ein Angreifer eine gültig signierte XML-Nachricht so manipulieren, dass sie dennoch die Signaturprüfung besteht. Dies ermöglicht das Umgehen von Authentifizierungs- und Autorisierungsmechanismen, was unter Umständen zu Privilegieneskalationen oder Identitätsübernahmen führen kann.
Nutzer sollten dringend auf xml-crypto Version 6.0.1 oder, falls verwendet, auf die entsprechenden Patch-Versionen fĂĽr v2.x (2.1.6) und v3.x (3.2.1) aktualisieren, um den Missbrauch zu verhindern.