Разработчики xml-crypto выпустили новые версии, которые исправляют две очень серьезные проблемы. Эти проблемы позволяют злоумышленнику обойти проверку подписи в XML-данных и получить доступ к системе с повышенными привилегиями или выдать себя за другого пользователя.
Библиотека xml-crypto для Node.js очень популярна. За последнюю неделю ее загрузили более миллиона раз, а за последние семь дней — почти 1,4 миллиона раз.
Уязвимости с идентификаторами CVE-2025-29774 и CVE-2025-29775 (оценены в 9,3 балла по шкале CVSS) отличаются незначительно. Для их эксплуатации нужно внести небольшие изменения в правильное XML-сообщение, чтобы обойти проверку подлинности и авторизацию в системах, использующих xml-crypto.
Первая уязвимость заключается в наличии нескольких элементов
Патчи для этих уязвимостей включены в версию xml-crypto 6.0.1, а также доступны для более старых версий 2.x и 3.x (выпуски 2.1.6 и 3.2.1 соответственно). Рекомендуется всем пользователям обновить библиотеку как можно скорее.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
