Plateforme
nodejs
Composant
node-forge
Corrigé dans
1.3.0
La CVE-2022-24772 est une vulnérabilité de falsification de signature RSA PKCS#1 v1.5 présente dans la bibliothèque node-forge. Cette vulnérabilité permet de falsifier des signatures en ajoutant des données parasites, en particulier lorsque des exposants publics faibles sont utilisés. Elle affecte les versions de node-forge antérieures à la version 1.3.0. La version 1.3.0 corrige ce problème.
La CVE-2022-24772 affecte la bibliothèque node-forge, plus précisément son code de vérification de signature RSA PKCS#1 v1.5. La vulnérabilité réside dans l'absence de validation des octets de déchet après le décodage d'une structure ASN.1 DigestInfo. Cela permet à un attaquant de supprimer des octets de remplissage et d'ajouter des données de déchet pour forger une signature lorsqu'un exposant public faible est utilisé. Le risque est important pour les applications qui dépendent de node-forge pour la vérification sécurisée des signatures RSA PKCS#1 v1.5, car un attaquant pourrait compromettre l'intégrité des données et l'authenticité des transactions.
L'exploitation de cette vulnérabilité nécessite une connaissance approfondie de la structure ASN.1 et du fonctionnement des signatures RSA PKCS#1 v1.5. Un attaquant devrait intercepter ou générer une signature RSA PKCS#1 v1.5, modifier le remplissage pour inclure des données malveillantes, puis présenter la signature modifiée pour vérification. Le succès de l'exploitation dépend de l'implémentation spécifique de la vérification de la signature et de l'exposant public utilisé. La complexité de l'exploitation ne diminue pas la gravité de la vulnérabilité, car un attaquant suffisamment bien doté et compétent pourrait l'exploiter pour compromettre les systèmes affectés.
Statut de l'Exploit
EPSS
0.16% (percentile 37%)
Vecteur CVSS
La correction de cette vulnérabilité consiste à mettre à jour la bibliothèque node-forge à la version 1.3.0 ou supérieure. Cette version inclut des corrections qui valident correctement les octets de déchet après le décodage ASN.1, atténuant ainsi le risque de falsification de signature. Tous les utilisateurs de node-forge sont fortement encouragés à appliquer cette mise à jour dès que possible. De plus, examinez le code qui utilise node-forge pour vous assurer que les meilleures pratiques de sécurité sont suivies et que l'exposition aux attaques potentielles est minimisée. La mise à jour doit être priorisée pour les systèmes critiques.
Actualice a la versión 1.3.0 o superior de node-forge para corregir la vulnerabilidad. Esta actualización aborda la verificación incorrecta de la firma criptográfica al decodificar estructuras ASN.1, previniendo la falsificación de firmas en ciertos escenarios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
ASN.1 (Abstract Syntax Notation One) est une norme pour définir et représenter des données structurées. Il est largement utilisé dans les protocoles réseau et les formats de fichiers.
PKCS#1 v1.5 est une norme pour le format des messages RSA, y compris les signatures et le chiffrement.
La version 1.3.0 corrige la vulnérabilité en validant les octets de déchet, empêchant ainsi la falsification des signatures.
Si la mise à jour immédiate n'est pas possible, envisagez de mettre en œuvre des mesures d'atténuation supplémentaires, telles que la validation de la source des signatures et l'utilisation d'un exposant public plus grand.
Il est important de se tenir au courant des dernières mises à jour de sécurité de node-forge et des autres bibliothèques que votre application utilise.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.