प्लेटफ़ॉर्म
nodejs
घटक
node-forge
में ठीक किया गया
1.3.3
1.3.2
node-forge में एक अनियंत्रित पुनरावृत्ति (Uncontrolled Recursion) की भेद्यता पाई गई है, जो CVE-2025-66031 के रूप में जानी जाती है। यह भेद्यता, दुर्भावनापूर्ण ASN.1 संरचनाओं के निर्माण को सक्षम करती है, जिसके परिणामस्वरूप स्टैक समाप्त हो जाता है और Denial-of-Service (DoS) की स्थिति उत्पन्न होती है। यह भेद्यता node-forge के संस्करण 1.3.1 और उससे पहले को प्रभावित करती है। इस समस्या को node-forge के संस्करण 1.3.2 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को गहरे ASN.1 संरचनाओं को तैयार करने की अनुमति देती है, जो asn1.fromDer फ़ंक्शन के माध्यम से DER इनपुट को पार्स करते समय असीमित पुनरावृत्ति को ट्रिगर करती है। परिणामस्वरूप, सिस्टम स्टैक ओवरफ्लो का अनुभव कर सकता है, जिससे सेवा बाधित हो सकती है और एप्लिकेशन अनुपलब्ध हो सकता है। हमलावर आसानी से दुर्भावनापूर्ण DER डेटा भेजकर इस भेद्यता का फायदा उठा सकते हैं, जिससे लक्षित सिस्टम पर DoS हमला हो सकता है। इस प्रकार की भेद्यता का शोषण, विशेष रूप से उन अनुप्रयोगों में हानिकारक हो सकता है जो बाहरी स्रोतों से ASN.1 डेटा को पार्स करते हैं, क्योंकि यह सिस्टम की स्थिरता और उपलब्धता को खतरे में डाल सकता है।
CVE-2025-66031 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर की अनुपलब्धता के कारण, भेद्यता के शोषण की संभावना का मूल्यांकन करना मुश्किल है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण संभव है। यह भेद्यता 2025-11-26 को प्रकाशित हुई थी।
Applications and services utilizing the node-forge library for ASN.1 parsing, particularly those processing untrusted external data such as certificates or cryptographic keys, are at risk. This includes systems integrating with X.509 certificate authorities or other protocols relying on ASN.1 data structures.
• nodejs / server:
ps aux | grep asn1.fromDer | grep -v grep• nodejs / server:
journalctl -u nodejs | grep asn1.fromDer• generic web: Monitor Node.js application logs for errors related to stack overflows or excessive memory usage during ASN.1 parsing. Look for patterns indicating unusually large or deeply nested ASN.1 structures in request payloads.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.11% (30% शतमक)
CISA SSVC
node-forge को संस्करण 1.3.2 या उसके बाद के संस्करण में अपग्रेड करना इस भेद्यता को दूर करने का प्राथमिक तरीका है। यदि तत्काल अपग्रेड संभव नहीं है, तो बाहरी स्रोतों से प्राप्त ASN.1 डेटा को पार्स करते समय इनपुट आकार और जटिलता को सीमित करने के लिए एक अस्थायी समाधान के रूप में WAF (Web Application Firewall) या प्रॉक्सी का उपयोग किया जा सकता है। इसके अतिरिक्त, ASN.1 पार्सिंग लॉजिक में अतिरिक्त सुरक्षा जांच लागू करने पर विचार करें ताकि यह सुनिश्चित किया जा सके कि पुनरावृत्ति एक सुरक्षित सीमा के भीतर रहे। अपग्रेड के बाद, यह सत्यापित करें कि asn1.fromDer फ़ंक्शन अब असीमित पुनरावृत्ति का कारण नहीं बनता है, उदाहरण के लिए, छोटे, ज्ञात-अच्छे ASN.1 डेटा के साथ परीक्षण करके।
node-forge लाइब्रेरी को संस्करण 1.3.2 या उससे ऊपर में अपडेट करें। यह अनियंत्रित पुनरावृत्ति भेद्यता को ठीक कर देगा। आप `npm install node-forge@latest` कमांड के साथ npm का उपयोग करके अपडेट कर सकते हैं।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-66031 node-forge लाइब्रेरी में एक भेद्यता है जो हमलावरों को Denial-of-Service (DoS) हमला करने की अनुमति देती है, जिससे स्टैक समाप्त हो जाता है। यह भेद्यता node-forge के संस्करण 1.3.1 और उससे पहले को प्रभावित करती है।
यदि आप node-forge के संस्करण 1.3.1 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
node-forge को संस्करण 1.3.2 या उसके बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF या प्रॉक्सी का उपयोग करके इनपुट आकार को सीमित करें।
CVE-2025-66031 का सक्रिय शोषण अभी तक ज्ञात नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण संभव है।
node-forge टीम द्वारा जारी आधिकारिक सलाहकार के लिए node-forge के GitHub रिपॉजिटरी या आधिकारिक वेबसाइट की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।