Node.js 库爆高危漏洞

近日，有研究人员披露了 Node.js 生态里广泛应用的XML-Crypto和 SAML 库存在两个零日漏洞，分别为CVE-2025-29774和CVE-2025-29775，这些漏洞可以让攻击者无需用户交互，就能伪造 SAML 认证响应，进而可能获取受影响应用中任何用户账户（含管理员账户）的非授权访问权。CVE-2025-29774此漏洞允许攻击者以绕过签名验证检查的方式修改有效的已签名 XML 消息。而CVE-2025-29775则是攻击者能够修改有效的已签名 XML 消息以绕过签名验证。 在此建议使用 6.0.0 及更早版本的用户应升级到 6.0.1 版本以获取修复。