Node-Forge 1.3.1 爆出高危漏洞 CVE-2025-12816，可绕过加密验证

广泛使用的 JavaScript 加密库 `node-forge` 在其 1.3.1 及更早版本中被发现一个高危安全漏洞，攻击者可利用该漏洞构造恶意 ASN.1 数据结构，导致下游加密验证和安全决策失效。该漏洞被标记为“高危”级别，编号为 CVE-2025-12816，由研究员 Hunter Wodzenski 报告。漏洞本质是一种解释冲突，攻击者通过精心设计的 ASN.1 结构使模式验证过程“失步”，从而可能绕过关键的密码学检查。

`node-forge` 是一个在 Node.js 生态中用于实现 TLS 和各种加密工具的核心库，其安全性直接影响大量依赖它的应用程序和服务。此次漏洞的发现促使维护方 Digital Bazaar 迅速发布了修复版本。版本 1.3.2 主要包含了针对此漏洞的安全补丁，而紧随其后的 1.3.3 版本则修复了 1.3.2 引入的一个与 PKCS#12/PFX 文件处理相关的兼容性问题。

对于开发者和安全团队而言，这是一个需要立即响应的安全事件。所有使用 `node-forge` 1.3.1 或更早版本的项目都面临潜在风险，必须尽快升级至 1.3.3 版本。该漏洞凸显了供应链安全中基础加密组件的关键性，一次验证绕过可能波及整个依赖链，影响身份验证、数据完整性校验等核心安全功能。相关 GitHub 安全公告已发布，社区应密切关注后续动态。