Plattform
nodejs
Komponente
node-forge
Behoben in
1.4.1
1.4.0
CVE-2026-33895 affects the node-forge library, a JavaScript library for cryptographic primitives. This vulnerability allows attackers to forge Ed25519 signatures by exploiting a flaw in signature verification where non-canonical signatures are accepted. This can lead to authentication and authorization bypass, potentially granting unauthorized access. Affected versions are those prior to 1.4.0, and a fix is available in version 1.4.0.
CVE-2026-33895 in der 'forge'-Bibliothek ermöglicht die Verifizierung gefälschter, nicht-kanonischer Ed25519-Signaturen. Konkret akzeptiert die Bibliothek Signaturen, bei denen der Skalar 'S' nicht modulo der Gruppenordnung reduziert wird (S >= L). Dies bedeutet, dass eine gültige Signatur und ihre 'S + L'-Variante beide als gültig akzeptiert werden, was den RFC8032-Spezifikationen widerspricht. Diese Schwachstelle der Signatur-Veränderlichkeit wurde bereits ausgenutzt, um Authentifizierungs- und Autorisierungsmechanismen zu umgehen. Die CVSS-Schweregrad ist 7,5, was ein erhebliches Risiko anzeigt. Versionen vor 1.4.0 der 'forge'-Bibliothek sind betroffen.
Diese Schwachstelle wird ausgenutzt, indem die Ed25519-Signatur-Veränderlichkeit ausgenutzt wird. Ein Angreifer kann eine nicht-kanonische Signatur (S + L) generieren, die von der anfälligen 'forge'-Bibliothek als gültig akzeptiert wird, aber von konformen Implementierungen (wie Node.js crypto.verify mit OpenSSL) abgelehnt wird. Dies ermöglicht es dem Angreifer, die Identität eines Benutzers oder Systems zu fälschen, Zugriffskontrollen zu umgehen und die Systemsicherheit zu gefährden. Die einfache Generierung dieser veränderlichen Signaturen macht die Ausnutzung relativ einfach.
Applications and services relying on node-forge for Ed25519 signature verification are at risk. This includes Node.js applications using node-forge directly or indirectly through dependencies. Specifically, systems with older, unpatched versions of node-forge are vulnerable, and those relying on node-forge for critical authentication or authorization processes face the highest risk.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -match 'node'}• nodejs / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=4688 -ProviderName 'Microsoft-Windows-Sysmon/Operational' -MessageText '*node-forge*'"• generic web:
curl -I https://your-application.com/api/verify-signature | grep 'Signature:'disclosure
Exploit-Status
EPSS
0.03% (7% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist, die 'forge'-Bibliothek auf Version 1.4.0 oder höher zu aktualisieren. Diese Version behebt die Schwachstelle, indem sie eine ordnungsgemäße Verifizierung des Skalars 'S' implementiert, um sicherzustellen, dass er korrekt modulo der Gruppenordnung reduziert wird. Wenn ein Update nicht sofort möglich ist, überprüfen und stärken Sie die Authentifizierungs- und Autorisierungsmechanismen, die von der 'forge'-Bibliothek generierten oder verifizierten Ed25519-Signaturen abhängen. Es ist entscheidend, die Auswirkungen dieser Schwachstelle auf betroffene Systeme zu bewerten und die Aktualisierung oder Abschwächung entsprechend zu priorisieren. Die Überwachung von Sicherheitsprotokollen kann dazu beitragen, Exploitationsversuche zu erkennen.
Actualice la biblioteca Forge a la versión 1.4.0 o superior. Esto corrige la vulnerabilidad de falsificación de firmas Ed25519 al agregar la verificación faltante S > L.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Signatur-Veränderlichkeit ist eine Eigenschaft bestimmter digitaler Signaturalgorithmen, bei der eine gültige Signatur modifiziert werden kann, um eine andere Nachricht darzustellen, ohne die Signatur zu ungültig zu machen. In diesem Fall erzeugt das Hinzufügen von 'L' zu 'S' eine Signatur, die weiterhin von der anfälligen Bibliothek akzeptiert wird.
Node.js crypto.verify verwendet OpenSSL, das die Ed25519-Signaturverifizierung gemäß RFC8032 implementiert und nicht-kanonische Signaturen ablehnt.
Wenn ein sofortiges Update nicht möglich ist, überprüfen und stärken Sie Ihre Authentifizierungs- und Autorisierungsmechanismen. Erwägen Sie, zusätzliche Maßnahmen zu ergreifen, z. B. die Überprüfung des Zertifikats-Fingerabdrucks, um das Risiko zu mindern.
Überprüfen Sie die Version der 'forge'-Bibliothek, die Sie verwenden. Wenn sie vor Version 1.4.0 liegt, ist Ihr System anfällig. Die Überwachung von Sicherheitsprotokollen auf verdächtige Signaturmuster kann ebenfalls helfen.
Obwohl sich diese Schwachstelle auf die 'forge'-Bibliothek konzentriert, ist es wichtig, andere Bibliotheken zu überprüfen, die Ed25519 verwenden, um sicherzustellen, dass sie die Signaturverifizierung sicher implementieren.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.