HIGHCVE-2025-66031CVSS 7.5

node-forge に ASN.1 無制限再帰の脆弱性

Q: CVE-2025-66031 とは何ですか？（node-forge の Denial of Service (DoS)）

ASN.1 (Abstract Syntax Notation One) は、情報交換のためのデータ構造を定義するための標準です。

Q: node-forge の CVE-2025-66031 による影響を受けていますか？

バージョン 1.3.2 へのアップデートは、脆弱性を修正し、DoS 攻撃を防ぎます。

Q: node-forge の CVE-2025-66031 を修正するにはどうすればよいですか？

DER 入力の厳格な検証を実装し、信頼できないデータの処理を避けてください。

Q: CVE-2025-66031 は積極的に悪用されていますか？

使用している forge のバージョンを確認してください。バージョンが 1.3.2 未満の場合は、脆弱です。

Q: CVE-2025-66031 に関する node-forge の公式アドバイザリはどこで確認できますか？

再帰深度が非常に高い構造が最も危険です。

プラットフォーム

nodejs

コンポーネント

node-forge

修正版

1.3.3

1.3.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

node-forge の ASN.1 DER パーサーに、Uncontrolled Recursion (CWE-674) の脆弱性が存在します。悪意のある ASN.1 構造を解析する際に、無限再帰が発生し、DoS 攻撃につながる可能性があります。この脆弱性は、node-forge バージョン 1.3.1 以前に影響を与えます。1.3.2 以降のバージョンで修正されています。

影響と攻撃シナリオ

CVE-2025-66031 は forge のバージョン 1.3.1 以前に影響を与え、リモートの認証されていない攻撃者が、無制限の再帰解析をトリガーする深くネストされた ASN.1 構造を作成することを可能にします。これにより、信頼できない DER 入力を解析するときにスタックの枯渇によって、サービス拒否 (DoS) が発生します。悪意のある ASN.1 構造は、解析器が過剰な数の再帰呼び出しを行うように強制し、スタックの容量を超えてアプリケーションがクラッシュします。外部ソースからの ASN.1 データを適切な検証なしに処理するアプリケーションの場合、特に影響は大きくなります。

悪用の状況

攻撃者は、過剰な再帰深度を持つ ASN.1 構造を含む特別に作成された DER 入力を送信することにより、この脆弱性を悪用できます。この入力は、API、ファイル、またはアプリケーションが ASN.1 データを処理できるその他のチャネル経由で送信できます。アプリケーションの入力検証の欠如により、このタイプの攻撃に対して脆弱になります。悪用には認証は必要なく、攻撃のリスクが高まります。

リスク対象者翻訳中…

Applications and services utilizing the node-forge library for ASN.1 parsing, particularly those processing untrusted external data such as certificates or cryptographic keys, are at risk. This includes systems integrating with X.509 certificate authorities or other protocols relying on ASN.1 data structures.

検出手順翻訳中…

• nodejs / server:

  ps aux | grep asn1.fromDer | grep -v grep

• nodejs / server:

  journalctl -u nodejs | grep asn1.fromDer

• generic web: Monitor Node.js application logs for errors related to stack overflows or excessive memory usage during ASN.1 parsing. Look for patterns indicating unusually large or deeply nested ASN.1 structures in request payloads.

攻撃タイムライン

2025-11-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

NextGuard100% まだ脆弱

EPSS

0.11% (30% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントnode-forge

ベンダーosv

影響範囲修正版

< 1.3.2 – < 1.3.21.3.3

—1.3.2

弱点分類 (CWE)

CWE-674

タイムライン

予約済み2025-11-21
公開日2025-11-26
更新日2026-02-04
EPSS 更新日2026-03-23

公開後0日でパッチ適用

緩和策と回避策

解決策は、forge のバージョン 1.3.2 以降にアップグレードすることです。このバージョンは、ASN.1 解析中の再帰深度を制限することで脆弱性を修正します。その間、一時的な対策として、信頼できない DER 入力を処理しないか、解析器に渡す前に ASN.1 構造の厳格な検証を実装してください。検証には、構造の最大深度と、その中の要素の複雑さの確認が含まれます。ASN.1 処理中のメモリ使用量とスタックの使用量を監視することも、潜在的な DoS 攻撃を検出および軽減するのに役立ちます。

修正方法翻訳中…

Actualice la biblioteca node-forge a la versión 1.3.2 o superior. Esto solucionará la vulnerabilidad de recursión no controlada. Puede actualizar usando npm con el comando `npm install node-forge@latest`.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-66031 とは何ですか？（node-forge の Denial of Service (DoS)）