Node.js库爆高危漏洞

xml-crypto 是 Node.js 的XML 数字签名和加密库。攻击者可能能够利用 6.0.1 版本之前、3.2.1 版本之前以及 2.1.6 版本之前的漏洞，绕过依赖于 xml-crypto 来验证已签名 XML 文档的系统的身份验证或授权机制。该漏洞允许攻击者以仍能通过签名验证检查的方式修改有效的已签名 XML 消息。例如，它可用于更改关键的身份或访问控制属性，从而使攻击者能够提升权限或冒充其他用户。使用 6.0.0 及更早版本的用户应升级到 6.0.1 版本以获取修复。仍在使用 v2.x 或 v3.x 的用户应分别升级到已修复的 2.1.6 版本或 3.2.1 版本。