Node-Forge 1.3.1 爆出高危漏洞 CVE-2025-12816，可绕过加密验证

一个被标记为“高危”的安全漏洞正在影响广泛使用的 JavaScript 加密库 node-forge。该漏洞（CVE-2025-12816）存在于 1.3.1 及更早版本中，允许远程、未经身份验证的攻击者精心构造 ASN.1 数据结构，导致模式验证不同步。这种语义分歧可能绕过下游的加密验证和安全决策，为攻击者打开后门。漏洞由 Hunter Wodzenski 报告，并被归类为解释冲突（CWE-436）漏洞。

node-forge 是一个用于处理 TLS、PKI、消息摘要和加密的流行工具库，被无数 Node.js 项目和 Web 应用所依赖。此次漏洞的核心在于其 ASN.1 解析器。攻击者可以利用此缺陷，使应用程序对恶意构造的证书或签名做出错误的“有效”判断，从而可能破坏依赖该库进行身份验证、数据完整性检查或代码签名的系统安全。维护方 Digital Bazaar 已迅速响应，在 1.3.2 版本中修复了此安全漏洞。

对于全球的开发者和安全团队而言，这是一个紧急的供应链安全警报。任何使用 node-forge 1.3.1 或更早版本的项目都必须立即升级至 1.3.2 或更高版本（最新为 1.3.3）。未能及时修补可能导致严重的安全事件，尤其是在处理 PKI、数字证书或安全通信的场景中。此次事件再次凸显了开源软件依赖链的脆弱性，一个广泛使用的底层库中的单个漏洞，可能对数以万计的应用构成系统性风险。