CVE-2022-24772: Falsificación de firma RSA en node-forge. ¿Cómo?
Plataforma
nodejs
Componente
node-forge
Corregido en
1.3.0
La vulnerabilidad CVE-2022-24772 en node-forge permite la falsificación de firmas RSA debido a la falta de verificación de bytes basura después de decodificar una estructura `DigestInfo` ASN.1. Esto podría llevar a la aceptación de firmas falsificadas. La solución es actualizar a la versión 1.3.0 para mitigar el riesgo.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es CVE-2022-24772?
Es una vulnerabilidad en node-forge que permite la falsificación de firmas RSA debido a la falta de verificación de bytes basura después de decodificar una estructura `DigestInfo` ASN.1.
¿Estoy afectado por CVE-2022-24772?
Si utilizas la biblioteca node-forge, debes verificar si estás usando una versión anterior a la 1.3.0. Si es así, eres vulnerable.
¿Cómo puedo solucionar CVE-2022-24772?
Actualiza la biblioteca node-forge a la versión 1.3.0 o superior para corregir la vulnerabilidad.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis