Kritiska sårbarheter i Node.js-bibliotek
Två kritiska sårbarheter återfinns i xml-crypto, ett bibliotek för XML-signering och kryptering i Node.js. Detta bibliotek används i ett flertal produkter som hanterar autentisering.
Sårbarheterna CVE-2025-29775 och CVE-2025-29774 (båda med CVSS-klassning 9,3 av 10) gör det möjligt för en angripare att ändra ett giltigt signerat XML-meddelande på ett sätt som gör att det kringgår signaturverifieringskontroller. Det kan till exempel användas för att ändra kritiska identitets- eller åtkomstkontrollattribut, vilket gör det möjligt för en angripare med ett giltigt konto att eskalera privilegier eller utge sig för att vara en annan användare. [1, 2, 3]
Sårbarheterna påverkar även andra SAML-implementeringar från Node.js, exempelvis @node-saml/node-saml, samlify, saml2-js, samlp, saml2-suomifi med flera. [4]
I nuläget finns det inga uppgifter om att sårbarheterna utnyttjas aktivt, men instruktioner på hur denna sårbarhet skulle kunna utnyttjas finns publicerade.
En uppdatering som rättar sårbarheten finns tillgänglig.
Påverkade produkter
xml-crypto (version 6.0.0 och äldre)
Rekommendationer
CERT-SE rekommenderar att snarast möjligt uppdatera sårbara installationer till den senaste versionen, enligt leverantörens instruktioner, samt undersöka system efter tecken på intrång.
Källor
[1] https://nvd.nist.gov/vuln/detail/CVE-2025-29774
[2] https://nvd.nist.gov/vuln/detail/CVE-2025-29775
[3] https://github.com/node-saml/xml-crypto/security/advisories/GHSA-9p8x-f768-wp2g