Node-Forge 1.3.1 爆出高危漏洞 CVE-2025-12816，可绕过加密验证

广泛使用的 JavaScript 加密库 `node-forge` 在其 1.3.1 及更早版本中被发现一个高危安全漏洞（CVE-2025-12816），评级为“HIGH”。该漏洞源于 ASN.1 解析器中的解释冲突缺陷（CWE-436），远程攻击者无需认证即可通过精心构造的 ASN.1 数据结构，使模式验证过程“失步”，导致语义分歧。这种分歧的直接影响是可能绕过下游的加密验证和安全决策，为攻击者打开后门。漏洞由安全研究员 Hunter Wodzenski 报告，并已分配了 CVE 和 GHSA 标识符。

`node-forge` 是一个在 Node.js 和浏览器环境中提供 TLS 和各种加密工具（如 PKI、RSA、随机数生成）的基础库，被无数 Web 应用、开发工具和 npm 包间接依赖。此次漏洞的核心在于其 ASN.1 验证器，攻击者可利用该缺陷操纵解析逻辑，干扰依赖于 `node-forge` 进行证书验证、签名检查或数据完整性校验的安全机制。这意味着任何集成该库并处理外部输入（如证书、签名数据）的系统都可能面临风险。

维护方 Digital Bazaar 已迅速响应，在 2025 年 11 月 25 日发布的 1.3.2 版本中修复了此安全漏洞。随后在 12 月 2 日发布的 1.3.3 版本中，又修复了因 1.3.2 版本更新而引入的 PKCS#12/PFX 相关问题。这为依赖该库的整个生态系统敲响了警钟。所有使用 1.3.1 或更早版本的项目必须立即升级至 1.3.3 或更高版本，以消除这一可能被远程利用的高危风险。对于安全团队和开发者而言，审查依赖链并强制进行此依赖项升级已成为一项紧迫任务。