Уязвимость конфликта интерпретации (CWE-436) в Node-Forge версии 1.3.1 и более ранних версиях позволяет неаутентифицированным злоумышленникам создавать структуры ASN.1 для десинхронизации проверок схемы, что приводит к семантическому расхождению, которое может обойти последующие криптографические проверки и решения по безопасности.
Показать оригинальное описание (EN)
An interpretation-conflict (CWE-436) vulnerability in node-forge versions 1.3.1 and earlier enables unauthenticated attackers to craft ASN.1 structures to desynchronize schema validations, yielding a semantic divergence that may bypass downstream cryptographic verifications and security decisions.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Digitalbazaar Forge
cpe:2.3:a:digitalbazaar:forge:*:*:*:*:*:node.js:*:*
|
— |
<= 1.3.1
|
Ссылки 6
https://github.com/digitalbazaar/forge
cret@cert.org
https://github.com/digitalbazaar/forge/pull/1124
cret@cert.org
https://github.com/digitalbazaar/forge/security/advisories/GHSA-5gfm-wpxj-wjgq
cret@cert.org
https://kb.cert.org/vuls/id/521113
cret@cert.org
https://www.npmjs.com/package/node-forge
cret@cert.org
https://www.kb.cert.org/vuls/id/521113
af854a3a-2127-422b-91ae-364da2661108