Popüler bir JavaScript şifreleme kitaplığı olan ‘node-forge’ paketindeki bir güvenlik açığı, geçerli görünen veriler işleyerek imza doğrulamalarını atlamak için kullanılabilir.
Kusur, CVE-2025-12816 olarak izleniyor ve yüksek önem derecesine sahip. Bu durum, hatalı biçimlendirilmiş verilerin kriptografik olarak geçersiz olsa bile kontrollerden geçmesine olanak tanıyan kütüphanenin ASN.1 doğrulama mekanizmasından kaynaklanmaktadır.
Ulusal Güvenlik Açıkları Veritabanındaki (NVD) kusurun açıklaması şöyle: “Node-forge 1.3.1 ve önceki sürümlerdeki bir yorum çatışması güvenlik açığı, kimliği doğrulanmamış saldırganların şema doğrulamalarının senkronizasyonunu bozmak için ASN.1 yapıları oluşturmasına olanak tanıyor ve bu da aşağı yönlü kriptografik doğrulamaları ve güvenlik kararlarını atlayabilecek anlamsal bir farklılığa yol açıyor.”
Palo Alto Networks’ten Hunter Wodzenski kusuru keşfetti ve bunu node-forge geliştiricilerine sorumlu bir şekilde bildirdi.
Araştırmacı, ASN.1’den türetilen kriptografik protokollerin yapısını ve bütünlüğünü güçlendirmek için node-forge’a dayanan uygulamaların hatalı biçimlendirilmiş verileri doğrulamak için kandırılabileceği konusunda uyardı ve sahte bir veri yükünün doğrulama mekanizmasını nasıl kandırabileceğini gösteren bir kavram kanıtı sağladı.
Carnegie Mellon CERT-CC’nin bir güvenlik tavsiyesi, etkinin uygulamaya göre değiştiğini ve kimlik doğrulamayı atlama, imzalı verilere müdahale etme ve sertifikayla ilgili işlevlerin kötüye kullanılmasını içerebileceğini açıklıyor.
CERT-CC, “Kriptografik doğrulamanın güven kararlarında merkezi bir rol oynadığı ortamlarda, potansiyel etki önemli olabilir” diye uyarıyor.
Node-forge’un, Node Paket Yöneticisi (NPM) kayıt defterinde haftalık 26 milyona yakın indirmeyle oldukça popüler olduğu göz önüne alındığında, etki önemli olabilir.
Kitaplık, JavaScript ortamlarında şifreleme ve ortak anahtar altyapısı (PKI) işlevselliğine ihtiyaç duyan projeler tarafından kullanılır.
Bugün erken saatlerde 1.3.2 sürümünde bir düzeltme yayımlandı. Node-forge kullanan geliştiricilerin mümkün olan en kısa sürede en son sürüme geçmeleri önerilir.
Yaygın olarak kullanılan açık kaynak projelerdeki kusurlar, kamuya açıklandıktan ve bir yamanın kullanıma sunulmasından sonra uzun süre devam edebilir. Bunun çeşitli nedenleri olabilir; ortamın karmaşıklığı ve yeni kodu test etme ihtiyacı bunlardan bazılarıdır.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.