Plateforme
nodejs
Composant
node-forge
Corrigé dans
1.3.3
1.3.2
La vulnérabilité CVE-2025-66031 est un problème de type Uncontrolled Recursion (CWE-674) affectant la bibliothèque node-forge. Elle permet à des attaquants non authentifiés de provoquer un déni de service (DoS) en créant des structures ASN.1 excessivement profondes qui épuisent la mémoire lors du parsing de données DER non fiables. Cette vulnérabilité concerne les versions de node-forge inférieures ou égales à 1.3.1 et une version corrigée (1.3.2) est désormais disponible.
La vulnérabilité CVE-2025-66031 dans forge affecte les versions 1.3.1 et antérieures, permettant à des attaquants distants non authentifiés de créer des structures ASN.1 profondément imbriquées qui déclenchent une analyse récursive illimitée. Cela entraîne une attaque par déni de service (DoS) par épuisement de la pile lors de l'analyse d'entrées DER non fiables. La structure ASN.1 malveillante force l'analyseur à effectuer un nombre excessif d'appels récursifs, dépassant la capacité de la pile et provoquant le plantage de l'application. L'impact est significatif, en particulier pour les applications qui traitent des données ASN.1 provenant de sources externes sans validation appropriée.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant une entrée DER spécialement conçue contenant une structure ASN.1 avec une profondeur de récursion excessive. Cette entrée pourrait être envoyée via une API, un fichier ou tout autre canal permettant à l'application de traiter des données ASN.1. L'absence de validation des entrées dans l'application la rend vulnérable à ce type d'attaque. L'exploitation ne nécessite pas d'authentification, ce qui augmente le risque d'attaque.
Applications and services utilizing the node-forge library for ASN.1 parsing, particularly those processing untrusted external data such as certificates or cryptographic keys, are at risk. This includes systems integrating with X.509 certificate authorities or other protocols relying on ASN.1 data structures.
• nodejs / server:
ps aux | grep asn1.fromDer | grep -v grep• nodejs / server:
journalctl -u nodejs | grep asn1.fromDer• generic web: Monitor Node.js application logs for errors related to stack overflows or excessive memory usage during ASN.1 parsing. Look for patterns indicating unusually large or deeply nested ASN.1 structures in request payloads.
disclosure
Statut de l'Exploit
EPSS
0.11% (percentile 30%)
CISA SSVC
La solution consiste à mettre à niveau vers la version 1.3.2 de forge ou supérieure. Cette version corrige la vulnérabilité en limitant la profondeur de récursion pendant l'analyse ASN.1. En attendant, comme mesure temporaire, évitez de traiter des entrées DER non fiables ou mettez en œuvre une validation stricte de la structure ASN.1 avant de la transmettre à l'analyseur. La validation doit inclure la vérification de la profondeur maximale de la structure et de la complexité des éléments qui s'y trouvent. Surveiller l'utilisation de la mémoire et de la pile pendant le traitement ASN.1 peut également aider à détecter et à atténuer les potentielles attaques DoS.
Actualice la biblioteca node-forge a la versión 1.3.2 o superior. Esto solucionará la vulnerabilidad de recursión no controlada. Puede actualizar usando npm con el comando `npm install node-forge@latest`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
ASN.1 (Abstract Syntax Notation One) est une norme pour définir des structures de données pour l'échange d'informations.
La mise à niveau vers la version 1.3.2 corrige la vulnérabilité et empêche les attaques DoS.
Mettez en œuvre une validation stricte des entrées DER et évitez de traiter des données non fiables.
Vérifiez la version de forge que vous utilisez. Si elle est inférieure à 1.3.2, elle est vulnérable.
Les structures ayant une profondeur de récursion très élevée sont les plus dangereuses.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.