Node-forge ASN.1 无限递归漏洞解析

概述

CVE-2025-66031 是一个在 node-forge 库中发现的 ASN.1 无限递归漏洞，CVSS 4.0 评分为 8.7 分，属于高危漏洞。

漏洞描述

Forge（也称为node-forge）是一个用 JavaScript 实现的传输层安全原生实现。在 node-forge 1.3.1 及以下版本中存在不受控递归漏洞，远程未认证攻击者能够构造深度 ASN.1 结构，触发无限递归解析。在解析不受信任的 DER 输入时，这会导致栈耗尽，从而造成拒绝服务（DoS）。该问题已在版本 1.3.2 中修复。

漏洞时间线

• 发布日期：2025 年 11 月 26 日 23:15

• 最后修改：2025 年 11 月 26 日 23:15

• 远程利用：是

• 来源：security-advisories@github.com

受影响产品

总计受影响厂商：1 | 产品：1

CVSS 评分

解决方案

• 将 node-forge 更新到版本 1.3.2 或更高版本，修复深度 ASN.1 结构解析问题

• 避免解析不受信任的 DER 输入

参考链接

• https://github.com/digitalbazaar/forge/commit/260425c6167a38aae038697132483b5517b26451

• https://github.com/digitalbazaar/forge/security/advisories/GHSA-554w-wpv2-vw27

CWE - 通用弱点枚举

CWE-674：不受控递归

通用攻击模式枚举和分类（CAPEC）

• CAPEC-230：带有嵌套负载的序列化数据

• CAPEC-231：过大的序列化数据负载

漏洞历史记录

新 CVE 接收：由 security-advisories@github.com 于 2025 年 11 月 26 日更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享