Uma vulnerabilidade no pacote **node-forge**, uma biblioteca popular de criptografia em JavaScript, permite burlar verificações de assinatura ao criar dados que aparentam ser legítimos.
Identificada como **
CVE-2025-12816
**, a falha recebeu uma classificação de alta severidade.
Ela está relacionada ao mecanismo de validação ASN.1 da biblioteca, que aceita dados malformados mesmo quando criptograficamente inválidos.
Segundo a descrição do National Vulnerabilities Database (NVD), “uma vulnerabilidade de conflito de interpretação nas versões 1.3.1 e anteriores do node-forge permite que atacantes não autenticados criem estruturas ASN.1 que dessincronizam as validações, resultando em uma divergência semântica capaz de contornar verificações criptográficas e decisões de segurança subsequentes.”
A falha foi descoberta por Hunter Wodzenski, da Palo Alto Networks, que reportou o problema de forma responsável aos desenvolvedores do node-forge.
O pesquisador alertou que aplicações que dependem do node-forge para garantir a integridade e a estrutura de protocolos criptográficos baseados em ASN.1 podem ser enganadas a validar dados malformados.
Ele também forneceu um proof-of-concept demonstrando como um payload forjado pode enganar o mecanismo de verificação.
Um alerta do Carnegie Mellon CERT-CC explica que o impacto varia conforme a aplicação, podendo incluir bypass de autenticação, manipulação de dados assinados e uso indevido de funções relacionadas a certificados.
“Em ambientes onde a verificação criptográfica é fundamental para decisões de confiança, o impacto pode ser significativo”, destaca o CERT-CC.
A vulnerabilidade pode afetar um grande número de usuários, considerando que o node-forge é extremamente popular, com cerca de 26 milhões de downloads semanais apenas no registro Node Package Manager (NPM).
A biblioteca é usada em projetos que demandam funcionalidades de criptografia e infraestrutura de chave pública (PKI) em ambientes JavaScript.
Uma correção foi disponibilizada hoje na versão 1.3.2.
Desenvolvedores que utilizam o node-forge devem atualizar para esta versão o quanto antes.
Falhas em projetos open source amplamente utilizados podem permanecer ativas por muito tempo após sua divulgação e o lançamento do patch.
Isso geralmente acontece devido à complexidade do ambiente e à necessidade de testes rigorosos no novo código.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...