Kritische Schwachstellen in xml-crypto für Node.js

Das Unternehmen WorkOS veröffentlichte am 14. März 2025 eine Sicherheitsmeldung zu den kritischen Schwachstellen CVE-2025-29774 und CVE-2025-29775 in xml-crypto für Node.js. xml-crypto für Node.js ist eine XML-Bibliothek für digitale Signaturen und Verschlüsselung.

CVE-2025-29774 und CVE-2025-29775 haben beide einen CVSS-Score von 9.3/10. Die Sicherheitslücken ermöglichen Angreifenden, Authentifizierungsmechanismen zu umgehen, wenn diese xml-crypto zur Verifizierung signierter XML-Dokumente nutzen. Die Lücke erlaubt Kriminellen, eine gültige signierte XML-Nachricht so zu verändern, dass diese die Signatur-Überprüfung besteht. Hierdurch könnten die Angreifenden Rechte erweitern oder sich als legitime Nutzende ausgeben.

Die Schwachstellen betreffen alle xml-crypto-Versionen vor den Versionen 6.0.1, 3.2.1 und 2.1.6. In 6.0.1, 3.2.1 und 2.1.6 sind die Sicherheitslücken geschlossen.

Installieren Sie umgehend und je nach Konfiguration die Version 6.0.1, 3.2.1 oder 2.1.6 von xml-crypto für Node.js.