Forge (также называемый node-forge) — это собственная реализация безопасности транспортного уровня в JavaScript. Уязвимость неконтролируемой рекурсии в node-forge версии 1.3.1 и ниже позволяет удаленным, не прошедшим проверку подлинности злоумышленникам создавать глубокие структуры ASN.1, которые запускают неограниченный рекурсивный анализ. Это приводит к отказу в обслуживании (DoS) из-за исчерпания стека при анализе ненадежных входных данных DER.
Эта проблема исправлена в версии 1.3.2.
Показать оригинальное описание (EN)
Forge (also called `node-forge`) is a native implementation of Transport Layer Security in JavaScript. An Uncontrolled Recursion vulnerability in node-forge versions 1.3.1 and below enables remote, unauthenticated attackers to craft deep ASN.1 structures that trigger unbounded recursive parsing. This leads to a Denial-of-Service (DoS) via stack exhaustion when parsing untrusted DER inputs. This issue has been patched in version 1.3.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Digitalbazaar Forge
cpe:2.3:a:digitalbazaar:forge:*:*:*:*:*:node.js:*:*
|
— |
1.3.2
|