A popular biblioteca JavaScript pode ser hackeada para permitir que invasores acessem contas de usuários
Falha na biblioteca de criptografia Node-Forge (CVE-2025-12816) permitiu desvio de assinatura e validação de certificadoCERT-CC alerta sobre riscos, incluindo desvio de autenticação e adulteração de dados assinadosMaintainers lançou a versão 1.3.2; desenvolvedores instados a atualizar imediatamenteUma popular biblioteca de criptografia JavaScript é vulnerável de uma forma que pode permitir que agentes de ameaças invadam contas de usuários. A biblioteca já foi atualizada e os usuários são incentivados a migrar para a nova versão o mais rápido possível. O bug foi encontrado no pacote ‘node-forge’, uma ferramenta de criptografia popular que fornece funções para coisas como criptografia, descriptografia, hashing, assinaturas digitais, TLS/SSL e geração de chaves, tudo sem a necessidade de módulos nativos. ser contornado. Ele é rastreado como CVE-2025-12816 e recebe uma pontuação de gravidade de 8,6/10 (alta). Abstract Syntax Notation One (ASN.1) é um formato padrão usado para codificação de dados em certificados e operações criptográficas. Melhores escolhas para você Impacto significativoCarnegie Mellon CERT-CC também emitiu um comunicado de segurança, no qual disse que o bug pode ser abusado de diferentes maneiras e pode resultar em desvio de autenticação, moderação de dados assinados ou uso indevido de funções relacionadas a certificados. “Em ambientes onde a verificação criptográfica desempenha um papel central nas decisões de confiança, o impacto potencial pode ser significativo”, disse CERT-CC. É também uma biblioteca imensamente popular, com quase 26 milhões de downloads semanais no registro Node Package Manager (npm). A vulnerabilidade foi descoberta por pesquisadores de segurança cibernética da Palo Alto Networks e foi divulgada de forma responsável aos mantenedores do node-forge, que lançaram uma correção no início desta semana. node-forge são incentivados a mudar para a nova versão o mais rápido possível. Como regra geral, os desenvolvedores devem atualizar imediatamente as dependências de criptografia em projetos Node.js, pois mesmo pacotes confiáveis amplamente usados podem conter falhas críticas. Via BleepingComputerO melhor antivírus para todos os orçamentosNossas principais escolhas, com base em testes e comparações do mundo realSiga o TechRadar no Google News e adicione-nos como fonte preferencial para obter notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir! E é claro que você também pode seguir o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e obter atualizações regulares nossas no WhatsApp também.
Publicado: 2025-11-27 15:37:00
fonte: www.techradar.com
