يمكن استغلال ثغرة أمنية في حزمة “node-forge”، وهي مكتبة تشفير JavaScript شائعة، لتجاوز عمليات التحقق من التوقيع عن طريق صياغة البيانات التي تبدو صالحة.
تم تتبع الخلل باسم CVE-2025-12816 وحصل على تصنيف عالي الخطورة. وينشأ ذلك من آلية التحقق من صحة ASN.1 الخاصة بالمكتبة، والتي تسمح للبيانات المشوهة باجتياز عمليات التحقق حتى عندما تكون غير صالحة من الناحية التشفيرية.
“إن ثغرة تفسير تعارض التفسير في إصدارات العقدة 1.3.1 والإصدارات الأقدم تمكن المهاجمين غير المصادقين من صياغة هياكل ASN.1 لإلغاء مزامنة عمليات التحقق من صحة المخطط، مما يؤدي إلى تباعد دلالي قد يتجاوز عمليات التحقق من التشفير وقرارات الأمان،” يقرأ الخلل”https://nvd.nist.gov/vuln/detail/CVE-2025-12816″ الهدف=”_blank” rel=”nofollow noopener”>الوصف في قاعدة بيانات نقاط الضعف الوطنية (NVD).
“https://www.bleepstatic.com/c/w/wiz/Securing-AI-Agents-970×250.png” البديل=”Wiz”>
اكتشف Hunter Wodzenski من Palo Alto Networks الخلل وأبلغ مطوري العقدة عنه بشكل مسؤول.
وحذر الباحث من أن التطبيقات التي تعتمد على عقدة صياغة لفرض بنية وسلامة بروتوكولات التشفير المشتقة من ASN.1 يمكن خداعها للتحقق من صحة البيانات المشوهة، وقدمت إثباتًا للمفهوم يوضح كيف يمكن للحمولة المزورة أن تخدع آلية التحقق.
يوضح الاستشارة الأمنية الصادرة عن Carnegie Mellon CERT-CC أن التأثير يختلف باختلاف التطبيق، وقد يشمل تجاوز المصادقة، والتلاعب بالبيانات الموقعة، وإساءة استخدام الوظائف المتعلقة بالشهادة.
“في البيئات التي يلعب فيها التحقق من التشفير دورًا مركزيًا في قرارات الثقة، يمكن أن يكون التأثير المحتمل كبيرًا”.”https://kb.cert.org/vuls/id/521113″ الهدف=”_blank” rel=”nofollow noopener”> يحذر CERT-CC.
قد يكون التأثير كبيرًا بالنظر إلى أن Node-Forge تحظى بشعبية كبيرة لدى الأشخاص القريبين”https://www.npmjs.com/package/node-forge” الهدف=”_blank” rel=”nofollow noopener”> 26 مليون عملية تنزيل أسبوعية في سجل Node Package Manager (NPM).
يتم استخدام المكتبة من قبل المشاريع التي تحتاج إلى وظائف البنية التحتية للتشفير والمفتاح العام (PKI) في بيئات JavaScript.
تم إصدار الإصلاح في وقت سابق اليوم في الإصدار 1.3.2. يُنصح المطورون الذين يستخدمون Node-Forge بالتبديل إلى الإصدار الأحدث في أسرع وقت ممكن.
عيوب في المشاريع مفتوحة المصدر المستخدمة على نطاق واسع”https://www.bleepingcomputer.com/news/security/over-30-percent-of-log4j-apps-use-a-vulnerable-version-of-the-library/” الهدف=”_blank” rel=”nofollow noopener”> يمكن أن يستمر لفترة طويلة بعد الكشف العلني عنهم وتوافر التصحيح. قد يحدث هذا لأسباب مختلفة، منها تعقيد البيئة والحاجة إلى اختبار الكود الجديد.
“https://www.bleepstatic.com/c/w/wiz/2026-CISO-Spend_512x512.png” البديل=”Wiz”>
معيار ميزانية CISO لعام 2026
إنه موسم الميزانية! شارك أكثر من 300 من كبار مسؤولي أمن المعلومات وقادة الأمن كيفية التخطيط والإنفاق وتحديد الأولويات للعام المقبل. يجمع هذا التقرير رؤاهم، مما يسمح للقراء بقياس الاستراتيجيات، وتحديد الاتجاهات الناشئة، ومقارنة أولوياتهم مع توجههم إلى عام 2026.
تعرف على كيفية قيام كبار القادة بتحويل الاستثمار إلى تأثير قابل للقياس.