- Node-forge暗号化ライブラリの脆弱性(CVE-2025-12816)により署名および証明書の検証を回避可能
- CERT-CCが認証回避や署名データ改ざんなどのリスクを警告
- 管理者がバージョン1.3.2をリリース、開発者は直ちにアップデートを推奨
人気のJavaScript暗号化ライブラリに、攻撃者がユーザーアカウントへ侵入できる脆弱性が存在します。このライブラリはすでに更新されており、ユーザーはできるだけ早く新しいバージョンへ移行することが推奨されています。
このバグは「node-forge」パッケージで発見されました。node-forgeは、暗号化、復号化、ハッシュ、デジタル署名、TLS/SSL、鍵生成などの機能をネイティブモジュールなしで提供する人気の暗号化ツールです。
このバグにより、攻撃者は偽のASN.1データ構造を作成し、ライブラリに暗号検証をスキップさせて署名や証明書の検証を回避することができます。この脆弱性はCVE-2025-12816として追跡されており、深刻度スコアは8.6/10(高)です。ASN.1(抽象構文記法1)は、証明書や暗号操作でデータをエンコードするために使われる標準フォーマットです。
重大な影響
カーネギーメロン大学のCERT-CCもセキュリティ勧告を発表し、このバグがさまざまな方法で悪用され、認証回避、署名データの改ざん、証明書関連機能の誤用につながる可能性があると述べています。
「暗号検証が信頼判断の中心となる環境では、潜在的な影響は重大になり得ます」とCERT-CCは述べています。
Node.js開発者にとってnode-forgeは無数のWebアプリやサービスで使用されている中核的な暗号化ライブラリであり、npmレジストリでは週あたり約2,600万回もダウンロードされている非常に人気のあるライブラリです。
この脆弱性はPalo Alto Networksのサイバーセキュリティ研究者によって発見され、node-forgeの管理者に責任を持って開示され、今週初めに修正がリリースされました。
修正によりライブラリはバージョン1.3.2となり、node-forgeを利用している開発者はできるだけ早く新バージョンへ切り替えることが推奨されています。一般的な指針として、Node.jsプロジェクトでは暗号化関連の依存関係は迅速にアップデートすべきであり、広く使われている信頼性の高いパッケージであっても重大な欠陥が含まれている可能性があります。
