Plattform
nodejs
Komponente
node-forge
Behoben in
1.3.0
CVE-2022-24771 describes a vulnerability in the node-forge package related to RSA PKCS#1 v1.5 signature verification. The code's lenient checking of the digest algorithm structure allows a crafted structure to steal padding bytes and forge a signature, particularly when a low public exponent is used. This issue affects node-forge versions prior to 1.3.0. The vulnerability is addressed in node-forge version 1.3.0.
CVE-2022-24771 betrifft die node-forge-Bibliothek, insbesondere den RSA PKCS#1 v1.5-Signaturverifizierungscode. Die Schwachstelle liegt in einer nachgiebigen Prüfung der Struktur des Digest-Algorithmus. Dies ermöglicht es einem Angreifer, eine manipulierte Struktur zu erstellen, die Padding-Bytes stiehlt und einen nicht überprüften Teil der PKCS#1-kodierten Nachricht verwendet, um eine Signatur zu fälschen, wenn ein niedriger öffentlicher Exponent verwendet wird. Das Risiko ist erheblich für Anwendungen, die auf node-forge für die RSA-Signaturverifizierung angewiesen sind und Konfigurationen mit kleinen öffentlichen Exponenten verwenden.
Die Ausnutzung dieser Schwachstelle erfordert einen Angreifer mit Kenntnissen der PKCS#1-Signaturstrukturen und der Fähigkeit, bösartige Daten an das System zu senden, das node-forge zur Verifizierung verwendet. Der Erfolg hängt von der spezifischen Systemkonfiguration ab, einschließlich des öffentlichen Exponenten, der in den RSA-Schlüsseln verwendet wird. Ein kleiner öffentlicher Exponent erhöht die Wahrscheinlichkeit einer erfolgreichen Ausnutzung. Die Komplexität des Angriffs liegt in der Notwendigkeit, eine sorgfältig ausgearbeitete Signaturstruktur zu erstellen, um den Verifizierer zu täuschen.
Exploit-Status
EPSS
0.14% (35% Perzentil)
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, die node-forge-Bibliothek auf Version 1.3.0 oder höher zu aktualisieren. Diese Version korrigiert die Überprüfung der Digest-Algorithmusstruktur und verhindert so die Manipulation von Padding und die Fälschung von Signaturen. Es wird dringend empfohlen, auf die neueste stabile Version von node-forge zu aktualisieren, um dieses Risiko zu mindern. Überprüfen Sie außerdem den Code, der node-forge verwendet, um sicherzustellen, dass sichere öffentliche Exponenten verwendet werden und dass bewährte Verfahren für das Schlüssel- und Signaturmanagement befolgt werden.
Actualice a la versión 1.3.0 o superior de node-forge para mitigar la vulnerabilidad. Esta actualización corrige la verificación inadecuada de la firma criptográfica, previniendo la posibilidad de falsificación de firmas bajo ciertas condiciones.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
PKCS#1 v1.5 ist ein Standard für das Format von RSA-Nachrichten. Er definiert, wie Nachrichten vor der Signierung oder Entschlüsselung mit RSA kodiert und aufgefüllt werden müssen.
Der öffentliche Exponent ist eine Schlüsselkomponente des RSA-Schlüssels. Ein kleiner öffentlicher Exponent kann die Signatur anfälliger für Angriffe wie diesen machen, da er die Berechnung einer gefälschten Signatur erleichtert.
Wenn ein sofortiges Update nicht möglich ist, sollten Sie zusätzliche Maßnahmen zur Risikominderung ergreifen, z. B. die Verwendung größerer öffentlicher Exponenten und die strenge Validierung von Signaturen.
Derzeit gibt es keine spezifischen Tools, um diese Schwachstelle zu erkennen. Eine gründliche Code-Überprüfung wird jedoch empfohlen, um unsichere Verwendung von node-forge zu identifizieren.
KEV: no bedeutet, dass diese Schwachstelle nicht in der Vulnerability Knowledgebase der Community enthalten ist.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.