Forge présente une vulnérabilité de déni de service via une boucle infinie dans BigInteger.modInverse() avec une entrée nulle

Forge (également appelé `node-forge`) est une implémentation native de Transport Layer Security en JavaScript. Avant la version 1.4.0, une vulnérabilité de déni de service (DoS) existe dans la bibliothèque node-forge en raison d'une boucle infinie dans la fonction BigInteger.modInverse() (héritée de la bibliothèque jsbn intégrée). Lorsque modInverse() est appelé avec une valeur nulle en entrée, l'algorithme d'Euclide étendu interne entre dans une condition de sortie inaccessible, ce qui provoque le blocage indéfini du processus et consomme 100 % du CPU. La version 1.4.0 corrige ce problème.