Jsrsasign es una biblioteca criptográfica de JavaScript de código abierto gratuita que admite una amplia variedad de algoritmos y estándares criptográficos. Se utiliza comúnmente en aplicaciones web y entornos Node.js para implementar funciones de seguridad como firmas digitales, cifrado y manejo de certificados.

¿Cuáles son los riesgos de usar versiones vulnerables de jsrsasign?

El uso de versiones vulnerables de jsrsasign puede exponer las aplicaciones a diversos riesgos de seguridad, incluida la recuperación de claves privadas, la falsificación de firmas y los ataques de denegación de servicio. Un atacante podría comprometer datos confidenciales, suplantar usuarios o interrumpir la disponibilidad de la aplicación.

¿Cómo actualizo jsrsasign a la última versión?

Puede actualizar jsrsasign a la última versión utilizando el administrador de paquetes npm. Ejecute el comando `npm update jsrsasign` en el directorio de su proyecto para actualizar el paquete a la última versión disponible, que incluye las correcciones de seguridad necesarias.

¿Qué versiones de jsrsasign se ven afectadas por estas vulnerabilidades?

Estas vulnerabilidades afectan a las versiones de jsrsasign anteriores a la 11.1.1. Es fundamental actualizar a la versión 11.1.1 o posterior para mitigar los riesgos asociados con estas fallas de seguridad.

Múltiples vulnerabilidades en jsrsasign conducen a la recuperación de claves y DoS

Se han descubierto múltiples vulnerabilidades en la biblioteca jsrsasign, que pueden conducir a la recuperación de claves privadas, la falsificación de firmas y ataques de denegación de servicio (DoS). Estos problemas afectan a las aplicaciones que utilizan versiones de jsrsasign anteriores a la 11.1.1. Ya está disponible un parche para solucionar estas vulnerabilidades.

Estas vulnerabilidades varían de media a crítica, lo que podría permitir la vulneración completa del sistema.

¿Qué es Jsrsasign?

Jsrsasign es una biblioteca criptográfica de JavaScript, que se utiliza a menudo en entornos Node.js, que proporciona implementaciones de varios estándares y algoritmos criptográficos, incluidos los relacionados con las firmas digitales y el manejo de certificados. Se utiliza para implementar la infraestructura de clave pública (PKI) en aplicaciones web. Para obtener más información, busque todos los CVE de jsrsasign.

CVE-2026-4599: Recuperación de clave privada DSA a través de la generación de nonce sesgada

CVSS9.1

Versiones afectadasLas versiones de Jsrsasign desde la 7.0.0 hasta la 11.1.1 (sin incluirla) se ven afectadas.

Gravedad crítica debido al potencial de recuperación de claves privadas.

La puntuación EPSS de 0.037 indica una baja probabilidad de explotación.

Una comparación incompleta en las funciones `getRandomBigIntegerZeroToMax` y `getRandomBigIntegerMinToMax` puede conducir a una generación de nonce DSA sesgada. Un atacante puede explotar esto para recuperar la clave privada analizando los nonces sesgados utilizados durante la generación de la firma.

Cómo solucionar CVE-2026-4599 en jsrsasign

Parchear ahora

1.Actualice el paquete jsrsasign a la versión 11.1.1 o posterior.

Actualizar jsrsasign

npm update jsrsasign

Solución temporal: No hay solución alternativa; la aplicación de parches es la única solución.

NextGuard marca automáticamente CVE-2026-4599 si jsrsasign aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.

CVE-2026-4600: Falsificación de firma DSA a través de la validación de parámetros de dominio

CVSS7.4

Versiones afectadasLas versiones de Jsrsasign anteriores a la 11.1.1 son vulnerables.

Alta gravedad debido al potencial de falsificación de firmas.

La puntuación EPSS de 0.01 indica una probabilidad muy baja de explotación.

La verificación incorrecta de las firmas criptográficas en `KJUR.crypto.DSA.setPublic` permite la falsificación de firmas DSA. Un atacante puede falsificar firmas o certificados X.509 proporcionando parámetros de dominio maliciosos.

Cómo solucionar CVE-2026-4600 en jsrsasign

Parchear ahora

1.Actualice el paquete jsrsasign a la versión 11.1.1 o posterior.

Actualizar jsrsasign

npm update jsrsasign

Solución temporal: No hay solución alternativa; la aplicación de parches es la única solución.

NextGuard marca automáticamente CVE-2026-4600 si jsrsasign aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.

CVE-2026-4602: Omisión de la verificación de la firma a través del manejo de exponentes negativos

CVSS7.5

Versiones afectadasLas versiones de Jsrsasign anteriores a la 11.1.1 son vulnerables.

Alta gravedad debido al potencial de omisión de la verificación de la firma.

La puntuación EPSS de 0.051 indica una baja probabilidad de explotación.

La conversión incorrecta entre tipos numéricos al manejar exponentes negativos puede conducir a la omisión de la verificación de la firma. Un atacante puede forzar el cálculo de inversas modulares incorrectas e interrumpir la verificación de la firma llamando a `modPow` con un exponente negativo.

Cómo solucionar CVE-2026-4602 en jsrsasign

Parchear ahora

1.Actualice el paquete jsrsasign a la versión 11.1.1 o posterior.

Actualizar jsrsasign

npm update jsrsasign

Solución temporal: No hay solución alternativa; la aplicación de parches es la única solución.

NextGuard marca automáticamente CVE-2026-4602 si jsrsasign aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.

CVE-2026-4601: Extracción de clave privada a través de la falta de validación criptográfica

CVSS8.7

Versiones afectadasLas versiones de Jsrsasign anteriores a la 11.1.1 son vulnerables.

Alta gravedad debido al potencial de extracción de clave privada.

La puntuación EPSS de 0.015 indica una probabilidad muy baja de explotación.

La falta de validación criptográfica durante la firma DSA permite la extracción de la clave privada. Un atacante puede recuperar la clave privada forzando que `r` o `s` sean cero, lo que hace que la biblioteca emita una firma no válida sin reintentar, y luego resolver `x` a partir de la firma resultante.

Cómo solucionar CVE-2026-4601 en jsrsasign

Parchear ahora

1.Actualice el paquete jsrsasign a la versión 11.1.1 o posterior.

Actualizar jsrsasign

npm update jsrsasign

Solución temporal: No hay solución alternativa; la aplicación de parches es la única solución.

NextGuard marca automáticamente CVE-2026-4601 si jsrsasign aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.

CVE-2026-4603: Salida cero determinista en operaciones RSA a través de la división por cero

CVSS5.9

Versiones afectadasLas versiones de Jsrsasign anteriores a la 11.1.1 son vulnerables.

Gravedad media debido al potencial de manipulación de la operación RSA.

La puntuación EPSS de 0.009 indica una probabilidad muy baja de explotación.

La división por cero permite que un módulo JWK no válido provoque una salida cero determinista en las operaciones RSA. Un atacante puede forzar que las operaciones de clave pública RSA colapsen a salidas cero deterministas y ocultar los errores de “clave no válida” proporcionando un JWK cuyo módulo se decodifica a cero.

Cómo solucionar CVE-2026-4603 en jsrsasign

Parchear en 7 días

1.Actualice el paquete jsrsasign a la versión 11.1.1 o posterior.

Actualizar jsrsasign

npm update jsrsasign

Solución temporal: No hay solución alternativa; la aplicación de parches es la única solución.

NextGuard marca automáticamente CVE-2026-4603 si jsrsasign aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.

CVE-2026-4598: Denegación de servicio a través de un bucle infinito

CVSS7.5

Versiones afectadasLas versiones de Jsrsasign anteriores a la 11.1.1 son vulnerables.

Alta gravedad debido al potencial de denegación de servicio.

La puntuación EPSS de 0.051 indica una baja probabilidad de explotación.

La función `bnModInverse` es vulnerable a un bucle infinito al procesar entradas cero o negativas. Un atacante puede colgar el proceso permanentemente proporcionando tales valores manipulados, lo que lleva a una condición de denegación de servicio.

Cómo solucionar CVE-2026-4598 en jsrsasign

Parchear ahora

1.Actualice el paquete jsrsasign a la versión 11.1.1 o posterior.

Actualizar jsrsasign

npm update jsrsasign

Solución temporal: Asegúrese de que las entradas a `bnModInverse` se validen para que sean positivas y distintas de cero.

NextGuard marca automáticamente CVE-2026-4598 si jsrsasign aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.

Manténgase a la vanguardia de las vulnerabilidades de Node.js

Identifique y corrija de forma proactiva las vulnerabilidades en sus proyectos de Node.js. Utilice NextGuard para supervisar sus dependencias de nodejs y recibir alertas sobre nuevas amenazas.

Comenzar a monitorear

Preguntas frecuentes

Se han identificado y parcheado múltiples vulnerabilidades en jsrsasign en la versión 11.1.1. Es fundamental actualizar a la última versión para mitigar los riesgos potenciales. Ver todas las vulnerabilidades de nodejs.

Temas relacionados

nodejscryptographysecurityvulnerabilityjsrsasign