Plateforme
nodejs
Composant
node-forge
Corrigé dans
1.3.0
La CVE-2022-24771 est une vulnérabilité dans la bibliothèque node-forge qui affecte la vérification des signatures RSA PKCS#1 v1.5. Plus précisément, le code de vérification est trop permissif dans le contrôle de la structure de l'algorithme de hachage, ce qui permet de potentiellement forger une signature. Cette faille peut être exploitée lorsque l'exposant public est faible. La version affectée est antérieure à 1.3.0. La version 1.3.0 de node-forge corrige cette vulnérabilité.
La CVE-2022-24771 affecte la bibliothèque node-forge, plus précisément le code de vérification de signature RSA PKCS#1 v1.5. La vulnérabilité réside dans une vérification laxiste de la structure de l'algorithme de hachage. Cela permet à un attaquant de créer une structure malveillante qui vole des octets de remplissage et utilise une partie non vérifiée du message encodé PKCS#1 pour falsifier une signature lorsqu'un exposant public faible est utilisé. Le risque est important pour les applications qui dépendent de node-forge pour la vérification de signature RSA et qui utilisent des configurations avec de petits exposants publics.
L'exploitation de cette vulnérabilité nécessite un attaquant ayant une connaissance de la structure des signatures PKCS#1 et la capacité d'envoyer des données malveillantes au système utilisant node-forge pour la vérification. Le succès dépend de la configuration spécifique du système, y compris l'exposant public utilisé dans les clés RSA. Un petit exposant public augmente la probabilité d'une exploitation réussie. La complexité de l'attaque réside dans la nécessité de construire une structure de signature soigneusement élaborée pour tromper le vérificateur.
Statut de l'Exploit
EPSS
0.14% (percentile 35%)
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour la bibliothèque node-forge à la version 1.3.0 ou supérieure. Cette version corrige la vérification de la structure de l'algorithme de hachage, empêchant la manipulation du remplissage et la falsification de signatures. Il est fortement recommandé de mettre à jour vers la dernière version stable de node-forge pour atténuer ce risque. De plus, examinez le code qui utilise node-forge pour vous assurer que des exposants publics sécurisés sont utilisés et que les meilleures pratiques en matière de gestion des clés et des signatures sont suivies.
Actualice a la versión 1.3.0 o superior de node-forge para mitigar la vulnerabilidad. Esta actualización corrige la verificación inadecuada de la firma criptográfica, previniendo la posibilidad de falsificación de firmas bajo ciertas condiciones.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
PKCS#1 v1.5 est une norme pour le format des messages RSA. Elle définit comment les messages doivent être encodés et remplis avant d'être signés ou déchiffrés avec RSA.
L'exposant public est un composant clé de la clé RSA. Un petit exposant public peut rendre la signature plus vulnérable aux attaques comme celle-ci, car il facilite le calcul d'une signature falsifiée.
Si la mise à jour immédiate n'est pas possible, envisagez de mettre en œuvre des mesures d'atténuation supplémentaires, telles que l'utilisation d'exposants publics plus importants et la validation rigoureuse des signatures.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité. Cependant, une revue de code approfondie est recommandée pour identifier toute utilisation non sécurisée de node-forge.
KEV: no indique que cette vulnérabilité n'a pas été incluse dans la base de connaissances des vulnérabilités de la communauté.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.