Một lỗ hổng (CVE-402-2024) đã được xác định trong thư viện JavaScript xml-crypto, được sử dụng làm phần phụ thuộc trong 32962 dự án và được tải xuống từ danh mục NPM khoảng một triệu lần mỗi tuần, đã được ấn định mức độ nghiêm trọng tối đa (10 Ngoài 10 ra). Thư viện cung cấp các chức năng mã hóa và xác minh chữ ký số của tài liệu XML. Lỗ hổng bảo mật cho phép kẻ tấn công xác minh một tài liệu hư cấu, trong cấu hình mặc định sẽ được thư viện xác minh thành công, mặc dù thực tế là nó được ký bằng một khóa khác với khóa được chỉ định để xác minh chữ ký. Sự cố xuất hiện bắt đầu từ phiên bản xml-crypto 4.0.0 và đã được khắc phục một cách lặng lẽ trong bản phát hành 6.0.0 vào tháng XNUMX.
Lỗ hổng này xảy ra do trong cấu hình mặc định, thư viện không ủy quyền cho người tạo chữ ký mà chỉ kiểm tra tính chính xác của chữ ký. Đặc biệt, thư viện tin tưởng bất kỳ chứng chỉ nào được đặt trong tài liệu đã ký trong phần tử KeyInfo XML, ngay cả khi cài đặt chỉ định việc sử dụng chứng chỉ cụ thể để xác minh chữ ký số. Do đó, để xác minh thành công tài liệu đã sửa đổi, kẻ tấn công chỉ cần thay thế chữ ký số gốc bằng chữ ký được tạo bởi khóa riêng của mình và đặt chứng chỉ (khóa chung) được liên kết với khóa riêng này trong phần tử KeyInfo.
Nguồn: opennet.ru
