流行的 JavaScript 加密庫「node-forge」套件中存在一個漏洞，攻擊者可以利用該漏洞透過建構看似有效的資料來繞過簽章驗證。此漏洞編號為CVE-2025-12816，並被評為高風險漏洞。它源自於庫的 ASN.1 驗證機制，該機制允許格式錯誤的資料即使在加密上無效的情況下也能通過驗證。

研究人員警告說，依賴 node-forge 來強制執行 ASN.1 衍生加密協議的結構和完整性的應用程式，可能會被誘騙去驗證格式錯誤的數據。卡內基美隆大學 CERT-CC 發布的安全公告解釋說，其影響因應用程式而異，可能包括身份驗證繞過、簽署資料篡改和濫用證書相關功能。 考慮到 node-forge在 Node 套件管理器 (NPM) 註冊表中每週的下載量接近 2600 萬次，其影響可能相當顯著。今天早些時候發布的 1.3.2 版本修復了這個問題，建議使用 node-forge 的開發者盡快切換到最新版本。

此漏洞被描述為一種「解釋衝突」缺陷，使得攻擊者能夠建構特定的ASN.1結構，進而破壞底層的加密驗證和安全決策。由於node-forge被大量用於需要加密和公鑰基礎設施（PKI）功能的JavaScript專案中，特別是在加密驗證在信任決策中起核心作用的環境中，其潛在的風險不可忽視。開發者應立即行動，將程式庫升級至修復版本1.3.2，以避免潛在的供應鏈攻擊和數據洩露。

資料來源：https://www.bleepingcomputer.com/news/security/popular-forge-library-gets-fix-for-signature-verification-bypass-flaw/