Pustaka Node-Forge Rilis Patch untuk Celah Bypass Verifikasi Tanda Tangan (CVE-2025-12816)
Pustaka kriptografi JavaScript populer node-forge baru saja menerima perbaikan untuk celah keamanan serius yang memungkinkan penyerang melewati proses verifikasi tanda tangan digital dengan memalsukan data agar terlihat valid.
Kerentanan ini dilacak sebagai CVE-2025-12816, memiliki tingkat keparahan tinggi, dan ditemukan pada mekanisme validasi ASN.1 milik node-forge yang secara keliru mengizinkan data rusak atau tidak valid untuk lolos dari pemeriksaan struktural.
Menurut deskripsi di NVD, celah ini memungkinkan penyerang:
“menciptakan struktur ASN.1 yang memicu konflik interpretasi sehingga validator ‘tersesat’, menghasilkan ketidaksinkronan skema dan potensi bypass pada verifikasi kriptografi maupun keputusan keamanan.”
Ditemukan oleh Peneliti Palo Alto Networks
Celah ini ditemukan oleh Hunter Wodzenski, peneliti dari Palo Alto Networks, yang melaporkannya secara bertanggung jawab kepada pengembang node-forge.
Aplikasi yang bergantung pada node-forge untuk memvalidasi struktur ASN.1 dapat ditipu menggunakan payload palsu sehingga proses verifikasi menandai data tersebut sebagai valid, meskipun sebenarnya rusak secara kriptografi.
CERT-CC memperingatkan bahwa dampaknya sangat bergantung pada jenis aplikasi, dan dapat mencakup:
- Bypass autentikasi
- Pengubahan data bertanda tangan
- Penyalahgunaan fungsi PKI atau sertifikat digital
CERT juga menekankan bahwa di lingkungan yang sangat bergantung pada verifikasi kriptografi, dampaknya bisa sangat serius.
Digunakan oleh 26 Juta Unduhan per Minggu
Node-forge merupakan salah satu pustaka kriptografi JavaScript paling banyak digunakan, dengan hampir 26 juta unduhan mingguan di NPM.
Pustaka ini dipakai banyak proyek yang membutuhkan:
- Fitur kriptografi
- Fungsi PKI
- Struktur ASN.1
- Operasi public/private key
Karena popularitasnya, celah keamanan pada node-forge berpotensi berdampak luas.
Update Segera: Patch Tersedia di Versi 1.3.2
Pengembang node-forge telah merilis patch pada versi 1.3.2, yang memperbaiki masalah ASN.1 tersebut.
Pengembang yang menggunakan node-forge sangat disarankan untuk:
- Memperbarui ke versi terbaru (1.3.2) segera
- Menguji integrasi pada aplikasi produksi
- Memeriksa fungsi yang terkait ASN.1 atau verifikasi tanda tangan
Seperti banyak celah pada proyek open-source besar lainnya, kerentanan semacam ini dapat bertahan lama pada aplikasi yang belum diperbarui—seringkali karena kompleksitas integrasi dan kebutuhan retesting di lingkungan produksi.
