Plattform
nodejs
Komponente
node-forge
Behoben in
1.4.1
1.4.0
CVE-2026-33896 is a high-severity vulnerability affecting the node-forge library, specifically its certificate validation functionality. This flaw allows an attacker to bypass certificate chain validation, potentially enabling the creation and acceptance of malicious certificates. The vulnerability impacts versions of node-forge prior to 1.4.0, and a fix is available in version 1.4.0.
CVE-2026-33896 in forge ermöglicht es Blattzertifikaten, die nicht beide Erweiterungen basicConstraints und keyUsage besitzen, als Zertifizierungsstellen (CAs) zu fungieren. Die Funktion pki.verifyCertificateChain() erzwingt die grundlegenden Beschränkungen gemäß RFC 5280 nicht, wenn ein Zwischenzertifikat diese Erweiterungen nicht besitzt. Dies bedeutet, dass ein Blattzertifikat, selbst wenn es nicht als CA gedacht ist, andere Zertifikate signieren kann, und node-forge akzeptiert diese als gültig. Dies gefährdet die Integrität der Vertrauenskette und könnte Man-in-the-Middle-Angriffe oder die Erstellung gefälschter Zertifikate ermöglichen.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein Blattzertifikat ohne die Erweiterungen basicConstraints und keyUsage erstellt. Der Angreifer könnte dann dieses Zertifikat verwenden, um ein bösartiges Zertifikat zu signieren, das einem legitimen Zertifikat ähnelt. Wenn eine Anwendung node-forge verwendet, um Zertifikatsketten zu überprüfen und nicht aktualisiert ist, akzeptiert sie das bösartige Zertifikat als gültig und ermöglicht dem Angreifer, den Netzwerkverkehr abzufangen und zu verändern.
Applications built on Node.js that rely on node-forge for certificate validation are at risk. This includes applications handling TLS connections, verifying digital signatures, or performing other certificate-based authentication. Specifically, applications that accept certificates from untrusted sources or have weak certificate validation policies are particularly vulnerable.
• nodejs:
Get-Process | Where-Object {$_.ProcessName -match 'node'}• nodejs: Check for node-forge versions prior to 1.4.0 using npm list node-forge.
• nodejs: Review application code for calls to pki.verifyCertificateChain() and assess the context of certificate validation.
• generic web: Monitor server logs for errors related to certificate validation or unexpected certificate chains.
disclosure
Exploit-Status
EPSS
0.02% (6% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung besteht darin, auf Version 1.4.0 oder höher von forge zu aktualisieren. Diese Version behebt die Schwachstelle, indem sie die grundlegenden Beschränkungen gemäß RFC 5280 korrekt erzwingt. Wenn ein sofortiges Update nicht möglich ist, überprüfen Sie sorgfältig alle in Ihrer Anwendung verwendeten Zertifikate und stellen Sie sicher, dass Zwischenzertifikate die Erweiterungen basicConstraints und keyUsage korrekt konfiguriert haben. Erwägen Sie, zusätzliche Validierungen in Ihrer Anwendung zu implementieren, um die Gültigkeit von Zertifikaten zu überprüfen, bevor Sie ihnen vertrauen.
Actualice la biblioteca Forge a la versión 1.4.0 o superior. Esta versión corrige la vulnerabilidad de omisión de basicConstraints en la verificación de la cadena de certificados. La actualización asegura que se cumplan los requisitos de RFC 5280.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
RFC 5280 ist ein Standard, der die Anforderungen für die Validierung von X.509-Zertifikaten definiert, einschließlich grundlegender Beschränkungen und Schlüsselverwendung.
Diese Erweiterungen geben an, ob ein Zertifikat als CA oder als Blattzertifikat gedacht ist und welche Operationen mit dem zugehörigen privaten Schlüssel durchgeführt werden können.
Überprüfen Sie sorgfältig alle in Ihrer Anwendung verwendeten Zertifikate und stellen Sie sicher, dass Zwischenzertifikate die Erweiterungen basicConstraints und keyUsage korrekt konfiguriert haben. Implementieren Sie zusätzliche Validierungen in Ihrer Anwendung.
Ja, es gibt mehrere Online- und Befehlszeilentools, mit denen Sie die Erweiterungen eines Zertifikats überprüfen können. Suchen Sie nach 'X.509 certificate viewer' oder 'openssl certificate info'.
Ja, jede Anwendung, die node-forge zur Überprüfung von Zertifikatsketten verwendet, ist potenziell anfällig, wenn sie nicht auf Version 1.4.0 oder höher aktualisiert wird.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.