Node-Forge 1.3.1 爆出高危漏洞 CVE-2025-12816，可绕过加密验证

一个被标记为“高危”的安全漏洞正在影响广泛使用的 JavaScript 加密库 node-forge。该漏洞（CVE-2025-12816）允许远程、未经身份验证的攻击者精心构造 ASN.1 数据结构，导致模式验证过程“失步”，从而可能绕过下游的加密验证和安全决策。这种解释冲突漏洞（CWE-436）存在于 1.3.1 及更早版本中，为攻击者打开了一扇潜在的后门。

该漏洞由 Hunter Wodzenski 报告，并已在 node-forge 的 1.3.2 版本中得到修复。然而，修复过程并非一帆风顺。在 1.3.2 版本发布后，开发者发现修复引入了新的问题，导致 PKCS#12/PFX 文件处理出错。这迫使项目方在几天后紧急发布了 1.3.3 版本，将 `digestAlgorithm` 参数设为可选，以解决兼容性问题。这一连串事件凸显了安全补丁可能带来的意外副作用。

node-forge 是一个在 Node.js 生态中用于处理 TLS、PKI、加密和哈希任务的基础库，其安全性直接关系到依赖它的无数应用程序和服务的完整性。此次高危漏洞的披露，对所有使用该库的团队构成了立即的升级压力。未能及时更新到 1.3.3 或更高版本的系统和项目，将面临加密验证被绕过的切实风险，这可能被利用来发起更复杂的供应链攻击或数据篡改。