- Cacat perpustakaan kriptografi node-forge (CVE-2025-12816) memungkinkan bypass validasi tanda tangan dan sertifikat
- CERT-CC memperingatkan risiko termasuk bypass otentikasi dan gangguan data yang ditandatangani
- Pengelola merilis versi 1.3.2; pengembang didesak untuk segera memperbarui
Pustaka kriptografi JavaScript yang populer rentan sehingga memungkinkan pelaku ancaman membobol akun pengguna. Perpustakaan telah diperbarui, dan pengguna didesak untuk pindah ke versi baru sesegera mungkin.
Bug ini ditemukan dalam paket ‘node-forge’, alat kriptografi populer yang menyediakan fungsi untuk hal-hal seperti enkripsi, dekripsi, hashing, tanda tangan digital, TLS/SSL, dan pembuatan kunci, semuanya tanpa memerlukan modul asli.
Bug ini memungkinkan penyerang membuat struktur data ASN.1 palsu yang mengelabui perpustakaan agar melewatkan pemeriksaan kriptografi dan memungkinkan tanda tangan, atau validasi sertifikat, dilewati. Penyakit ini dilacak sebagai CVE-2025-12816 dan diberi skor tingkat keparahan 8,6/10 (tinggi). Abstrak Notasi Sintaks Satu (ASN.1) adalah format standar yang digunakan untuk pengkodean data dalam sertifikat dan operasi kriptografi.
Dampak signifikan
Carnegie Mellon CERT-CC juga mengeluarkan peringatan keamanan, yang menyatakan bahwa bug dapat disalahgunakan dengan cara yang berbeda, dan dapat mengakibatkan pengabaian otentikasi, tempering data yang ditandatangani, atau penyalahgunaan fungsi terkait sertifikat.
“Dalam lingkungan di mana verifikasi kriptografi memainkan peran penting dalam keputusan kepercayaan, potensi dampaknya bisa signifikan,” kata CERT-CC.
Pengembang Node.js harus peduli karena node-forge adalah pustaka kriptografi inti yang digunakan di banyak aplikasi dan layanan web. Ini juga merupakan perpustakaan yang sangat populer, dengan hampir 26 juta unduhan mingguan di registri Node Package Manager (npm).
Kerentanan ini ditemukan oleh peneliti keamanan siber dari Palo Alto Networks, dan diungkapkan secara bertanggung jawab kepada pengelola node-forge, yang merilis perbaikan awal pekan ini.
Perbaikan ini membawa perpustakaan ke versi 1.3.2, dan pengembang yang menggunakan node-forge didesak untuk beralih ke versi baru sesegera mungkin. Sebagai pedoman umum, pengembang harus segera memperbarui dependensi kriptografi dalam proyek Node.js, karena paket tepercaya yang digunakan secara luas sekalipun dapat mengandung kelemahan kritis.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
