Node-Forge 1.3.1 爆高危漏洞 CVE-2025-12816，可绕过加密验证与安全决策

一个被标记为“高危”（HIGH）的安全漏洞正在影响广泛使用的加密库 node-forge。该漏洞（CVE-2025-12816）存在于 1.3.1 及更早版本中，允许远程、未经身份验证的攻击者通过精心构造的 ASN.1 数据结构，使模式验证过程“去同步”，导致语义分歧。这种分歧的核心风险在于，它可能绕过下游的加密验证和安全决策，为攻击者打开后门。漏洞由安全研究员 Hunter Wodzenski 报告，并已获得 CVE 和 GitHub 安全公告（GHSA-5gfm-wpxj-wjgq）的正式标识。

node-forge 是一个在 Node.js 生态系统中广泛使用的 JavaScript 加密工具库，用于处理 TLS、X.509 证书、PKCS#7 消息等多种加密任务。其 ASN.1 解析和验证组件是许多安全协议的基础。此次发现的“解释冲突”（CWE-436）型漏洞，直接动摇了依赖该库进行数据完整性校验和身份验证的应用的安全根基。维护方 Digital Bazaar 已迅速响应，在 2025年11月25日发布的 1.3.2 版本中修复了此问题。

对于全球数以万计依赖 node-forge 的项目和应用程序而言，这是一个紧急的供应链安全事件。任何使用 1.3.1 或更旧版本的应用，其加密验证环节都可能存在被绕过的风险，潜在影响范围从网络通信安全到数字签名验证。开发团队必须立即将依赖升级至 1.3.2 版本。此次事件再次凸显了开源软件供应链中，一个基础加密组件的微小缺陷可能对上游大量应用造成的广泛安全威胁。