Plattform
nodejs
Komponente
node-forge
Behoben in
1.3.0
CVE-2022-24773 affects the node-forge library, a JavaScript library for cryptographic primitives. This vulnerability allows attackers to bypass RSA PKCS#1 v1.5 signature verification by exploiting a flaw in how the DigestInfo is validated for proper ASN.1 structure. Successful exploitation could allow attackers to forge signatures, potentially leading to unauthorized access or data manipulation. The vulnerability is resolved in version 1.3.0.
CVE-2022-24773 in node-forge betrifft die Verifizierung von RSA PKCS#1 v1.5 Signaturen. Der Code validiert die ASN.1-Struktur von DigestInfo nicht korrekt, was die erfolgreiche Verifizierung von Signaturen mit ungültigen Strukturen, aber einem gültigen Digest ermöglicht. Dies könnte einem Angreifer ermöglichen, bösartige Signaturen zu erstellen, die von der betroffenen Software fälschlicherweise als legitim eingestuft werden, wodurch die Datenintegrität und potenziell die Systemsicherheit gefährdet werden. Die CVSS-Punktzahl beträgt 5.3.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige PKCS#1 v1.5-Signatur mit einer ungültigen DigestInfo-Struktur, aber einem gültigen Digest erstellt. Software, die node-forge zur Verifizierung dieser Signaturen verwendet, könnte die Signatur akzeptieren, obwohl sie kompromittiert ist. Dies könnte in Anwendungen auftreten, die digitale Signaturen zur Authentifizierung von Dokumenten, Software oder Nachrichten verwenden. Der Schwierigkeitsgrad der Ausnutzung hängt von der Fähigkeit des Angreifers ab, die ASN.1-Struktur zu manipulieren und einen gültigen Digest zu generieren.
Exploit-Status
EPSS
0.13% (32% Perzentil)
CVSS-Vektor
Die Behebung dieser Schwachstelle besteht darin, auf Version 1.3.0 oder höher von node-forge zu aktualisieren. Diese Version enthält Korrekturen, die die ASN.1-Struktur von DigestInfo korrekt validieren und so die Verifizierung bösartiger Signaturen verhindern. Es wird empfohlen, dieses Update so schnell wie möglich anzuwenden, um das Risiko einer Ausnutzung zu mindern. Wenn ein sofortiges Update nicht möglich ist, überprüfen Sie den Code und wenden Sie relevante Sicherheits-Patches an, obwohl dies komplex sein und ein tiefes Verständnis des Codes erfordern kann.
Actualice la biblioteca `node-forge` a la versión 1.3.0 o superior para corregir la vulnerabilidad. Esta actualización aborda la verificación incorrecta de la firma criptográfica RSA PKCS#1 v1.5, previniendo la verificación exitosa de firmas con estructuras ASN.1 inválidas.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
ASN.1 (Abstract Syntax Notation One) ist ein Standard für die Definition von Datenstrukturen für den Informationsaustausch. Es wird häufig in Sicherheitsprotokollen wie PKCS#1 verwendet.
Sie können die Version von node-forge, die Sie verwenden, überprüfen, indem Sie npm list node-forge in Ihrem Terminal ausführen. Wenn die Version kleiner als 1.3.0 ist, ist sie anfällig.
Wenn Sie nicht sofort aktualisieren können, sollten Sie den Code überprüfen, der node-forge zur Signaturverifizierung verwendet, und relevante Sicherheits-Patches anwenden. Dies kann jedoch komplex sein und erfordert ein tiefes Verständnis des Codes.
Alle Daten, die mit RSA PKCS#1 v1.5-Signaturen authentifiziert werden, die mit node-forge verifiziert werden, sind anfällig, einschließlich Dokumente, Software und Nachrichten.
Sie finden weitere Informationen im forge-Repository auf GitHub: [https://github.com/digitalbazaar/forge](https://github.com/digitalbazaar/forge)
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.