Platform
nodejs
Component
node-forge
Opgelost in
1.3.3
1.3.2
CVE-2025-66031 beschrijft een Denial-of-Service (DoS) kwetsbaarheid in de node-forge bibliotheek. Deze kwetsbaarheid ontstaat door een ongecontroleerde recursie tijdens het parsen van ASN.1 DER inputs, wat kan leiden tot stack exhaustion. De kwetsbaarheid treft versies van node-forge tot en met 1.3.1 en is verholpen in versie 1.3.2.
CVE-2025-66031 in forge treft versies 1.3.1 en lager. Het stelt externe, niet-geauthenticeerde aanvallers in staat om diep geneste ASN.1-structuren te creëren die een onbeperkte recursieve analyse triggeren. Dit resulteert in een Denial-of-Service (DoS)-aanval door stapeluitputting bij het parsen van niet-vertrouwde DER-invoer. De kwaadaardige ASN.1-structuur dwingt de parser om een overmatig aantal recursieve aanroepen te doen, waardoor de stapelcapaciteit wordt overschreden en de applicatie crasht. De impact is aanzienlijk, vooral voor applicaties die ASN.1-gegevens verwerken van externe bronnen zonder adequate validatie.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een speciaal ontworpen DER-invoer te verzenden die een ASN.1-structuur bevat met een overmatige recursiediepte. Deze invoer kan worden verzonden via een API, een bestand of een ander kanaal dat de applicatie in staat stelt ASN.1-gegevens te verwerken. Het ontbreken van invoervalidatie in de applicatie maakt deze kwetsbaar voor dit type aanval. Exploitatie vereist geen authenticatie, wat het risico op een aanval vergroot.
Applications and services utilizing the node-forge library for ASN.1 parsing, particularly those processing untrusted external data such as certificates or cryptographic keys, are at risk. This includes systems integrating with X.509 certificate authorities or other protocols relying on ASN.1 data structures.
• nodejs / server:
ps aux | grep asn1.fromDer | grep -v grep• nodejs / server:
journalctl -u nodejs | grep asn1.fromDer• generic web: Monitor Node.js application logs for errors related to stack overflows or excessive memory usage during ASN.1 parsing. Look for patterns indicating unusually large or deeply nested ASN.1 structures in request payloads.
disclosure
Exploit Status
EPSS
0.11% (30% percentiel)
CISA SSVC
De oplossing is om te upgraden naar versie 1.3.2 van forge of hoger. Deze versie repareert de kwetsbaarheid door de recursiediepte te beperken tijdens ASN.1-parsing. In de tussentijd, als tijdelijke maatregel, moet u het verwerken van niet-vertrouwde DER-invoer vermijden of een strenge ASN.1-structuurvalidatie implementeren voordat deze aan de parser wordt doorgegeven. De validatie moet de maximale structuurdiepte en de complexiteit van de elementen binnenin omvatten. Het monitoren van het geheugengebruik en de stapel tijdens ASN.1-verwerking kan ook helpen bij het detecteren en verzachten van potentiële DoS-aanvallen.
Actualice la biblioteca node-forge a la versión 1.3.2 o superior. Esto solucionará la vulnerabilidad de recursión no controlada. Puede actualizar usando npm con el comando `npm install node-forge@latest`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
ASN.1 (Abstract Syntax Notation One) is een standaard voor het definiëren van datastructuren voor informatie-uitwisseling.
Een update naar versie 1.3.2 repareert de kwetsbaarheid en voorkomt DoS-aanvallen.
Implementeer een strenge validatie van DER-invoer en vermijd het verwerken van niet-vertrouwde gegevens.
Controleer de forge-versie die u gebruikt. Als deze lager is dan 1.3.2, is deze kwetsbaar.
Structuren met een zeer hoge recursiediepte zijn het gevaarlijkst.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.