- خلل في مكتبة تشفير Node-forge (CVE-2025-12816) يسمح بتجاوز التوقيع والتحقق من صحة الشهادة
- يحذر CERT-CC من المخاطر بما في ذلك تجاوز المصادقة والتلاعب بالبيانات الموقعة
- أصدر المشرفون الإصدار 1.3.2؛ وحث المطورين على التحديث على الفور
مكتبة تشفير جافا سكريبت الشهيرة معرضة للخطر بطريقة قد تسمح لممثلي التهديد باقتحام حسابات المستخدمين. تم تحديث المكتبة منذ ذلك الحين، ونحث المستخدمين على الانتقال إلى الإصدار الجديد في أقرب وقت ممكن.
تم العثور على الخطأ في حزمة “node-forge”، وهي أداة تشفير شائعة توفر وظائف لأشياء مثل التشفير وفك التشفير والتجزئة والتوقيعات الرقمية وTLS/SSL وإنشاء المفاتيح، كل ذلك دون الحاجة إلى وحدات أصلية.
يتيح الخطأ للمهاجم إنشاء بنية بيانات ASN.1 زائفة تخدع المكتبة لتخطي عمليات التحقق من التشفير والسماح بتجاوز التوقيع أو التحقق من صحة الشهادة. يتم تتبعه كـ CVE-2025-12816 ويتم منحه درجة خطورة تبلغ 8.6/10 (عالية). مجردة بناء الجملة الترميز واحد (ASN.1) هو تنسيق قياسي يستخدم لتشفير البيانات في الشهادات وعمليات التشفير.
تأثير كبير
أصدر Carnegie Mellon CERT-CC أيضًا تحذيرًا أمنيًا، قال فيه إنه يمكن إساءة استخدام الخطأ بطرق مختلفة، وقد يؤدي إلى تجاوز المصادقة، أو تعديل البيانات الموقعة، أو إساءة استخدام الوظائف المتعلقة بالشهادة.
وقال CERT-CC: “في البيئات التي يلعب فيها التحقق من التشفير دورًا مركزيًا في قرارات الثقة، يمكن أن يكون التأثير المحتمل كبيرًا”.
يجب على مطوري Node.js الاهتمام لأن Node-forge هي مكتبة تشفير أساسية تستخدم في عدد لا يحصى من تطبيقات وخدمات الويب. وهي أيضًا مكتبة ذات شعبية كبيرة، حيث يتم تنزيلها أسبوعيًا ما يقرب من 26 مليونًا على سجل Node Package Manager (npm).
تم اكتشاف الثغرة الأمنية من قبل باحثين في مجال الأمن السيبراني من شركة Palo Alto Networks، وتم الكشف عنها بشكل مسؤول لمشرفي العقدة، الذين أطلقوا الإصلاح في وقت سابق من هذا الأسبوع.
يؤدي الإصلاح إلى نقل المكتبة إلى الإصدار 1.3.2، ويتم حث المطورين الذين يستخدمون Node-Forge على التبديل إلى الإصدار الجديد في أقرب وقت ممكن. كقاعدة عامة، يجب على المطورين تحديث تبعيات التشفير على الفور في مشاريع Node.js، حيث أنه حتى الحزم الموثوقة المستخدمة على نطاق واسع يمكن أن تحتوي على عيوب خطيرة.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات