Уязвимость библиотеки цифровой подписи и шифрования XML для Node.js xml-crypto связана с некорректной проверкой криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, подделать цифровую подпись путём внесения новой специально сформированной подписи в XML-документ
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- проверка сертификата с помощью других известных доверенных сертификатов перед подтверждением подлинности подписи (используя функцию getCertFromKeyInfo);
- настройка xml-crypto для принудительной проверки подписи с исполоьзованием явных publicCert или privateKey.
Использование рекомендаций производителя:
https://github.com/node-saml/xml-crypto/commit/21201723d2ca9bc11288f62cf72552b7d659b000
https://github.com/node-saml/xml-crypto/commit/c2b83f984049edb68ad1d7c6ad0739ec92af11ca
https://github.com/node-saml/xml-crypto/pull/301
https://github.com/node-saml/xml-crypto/pull/445
https://github.com/node-saml/xml-crypto/security/advisories/GHSA-2xp3-57p7-qf4v
| Балл | 9.4 — критическая опасность |