ГлавнаяБаза уязвимостей БДУ → BDU:2025-02821
10критическая

BDU:2025-02821

Уязвимость библиотеки шифрования и верификации цифровой подписи XML-документов xml-crypto программной платформы Node.js, связанная с недостатками механизма проверки криптографической подписи, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2025-03-17
Описание

Уязвимость библиотеки шифрования и верификации цифровой подписи XML-документов xml-crypto программной платформы Node.js связана с недостатками механизма проверки криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии путем отправки специально сформированного XML-пакета

Затрагиваемое ПО и версии
xml-crypto (до 6.0.1)xml-crypto (до 3.2.1)xml-crypto (до 2.1.6)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному обеспечению;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости.

Использование рекомендаций:
https://github.com/node-saml/xml-crypto/releases/tag/v2.1.6
https://github.com/node-saml/xml-crypto/releases/tag/v3.2.1
https://github.com/node-saml/xml-crypto/releases/tag/v6.0.1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/node-saml/xml-crypto/commit/28f92218ecbb8dcbd238afa4efbbd50302aa9aedhttps://github.com/node-saml/xml-crypto/commit/886dc63a8b4bb5ae1db9f41c7854b171eb83aa98https://github.com/node-saml/xml-crypto/commit/8ac6118ee7978b46aa56b82cbcaa5fca58c93a07https://github.com/node-saml/xml-crypto/releases/tag/v2.1.6https://github.com/node-saml/xml-crypto/releases/tag/v3.2.1https://github.com/node-saml/xml-crypto/releases/tag/v6.0.1https://github.com/node-saml/xml-crypto/security/advisories/GHSA-x3m8-899r-f7c3https://workos.com/blog/samlstorm
Проверьте безопасность своего сайта и почты → Полная проверка домена