公開日:2025/11/27 最終更新日:2025/11/27

JVNVU#90064104
JavaScriptライブラリ「Forge」における署名検証不備の脆弱性

概要

JavaScriptライブラリ「Forge」には、署名検証がバイパスされる脆弱性が存在します。

影響を受けるシステム

  • Forge 1.3.2より前のバージョン

詳細情報

JavaScriptライブラリForge(npmパッケージではnode-forgeとして利用可能)はTLSおよびその他の様々な暗号処理の機能を提供しています。 Forgeにはメッセージ認証コード(MAC)データなどのフィールドについて細工されたASN.1構造のデータを処理する際に、署名検証がバイパスされる脆弱性(CVE-2025-12816、CWE-436)が存在します。

想定される影響

攻撃者により認証をバイパスされたり、署名済みデータを改ざんされたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

ベンダ情報

ベンダ リンク
forge looks like AES256_CBC works invalid or not works at all

参考情報

  1. CERT/CC Vulnerability Note VU#521113
    Forge JavaScript library impacted by a vulnerability in signature verification.

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia