Plateforme
nodejs
Composant
node-forge
Corrigé dans
1.4.1
1.4.0
La vulnérabilité CVE-2026-33894 affecte la vérification des signatures RSASSA PKCS#1 v1.5 dans node-forge. Elle permet à des attaquants de falsifier des signatures pour des clés avec un faible exposant public (e=3). Cette falsification est possible en ajoutant des octets "garbage" dans la structure ASN. La version 1.4.0 de node-forge corrige cette vulnérabilité.
Cette vulnérabilité, CVE-2026-33894, affecte la vérification des signatures RSASSA PKCS#1 v1.5 dans forge lorsque des clés avec un petit exposant public (e=3) sont utilisées. Un attaquant peut forger des signatures en insérant des octets "parasites" au sein de la structure ASN (Abstract Syntax Notation One). Cette manipulation permet de construire une signature qui passe la vérification, ouvrant la voie à une falsification de type Bleichenbacher. Concrètement, un attaquant pourrait intercepter une demande de signature légitime, la modifier en insérant ces octets malveillants, puis la soumettre à un serveur vulnérable. Si la vérification est effectuée sans validation appropriée, le serveur acceptera la signature falsifiée comme valide. Les données à risque incluent tout ce qui est signé avec forge en utilisant les clés vulnérables, comme des transactions, des documents ou des identifiants. Le rayon d'impact dépend de l'utilisation de forge dans l'application, mais pourrait potentiellement affecter l'intégrité de l'ensemble du système si les signatures falsifiées sont utilisées pour authentifier des actions critiques. L'ajout d'octets dans un champ additionnel de la structure ASN, contrairement à CVE-2022-24771, rend la détection plus difficile et augmente le risque d'exploitation.
À l'heure actuelle, il n'y a pas de rapports publics d'exploitation active (KEV) concernant CVE-2026-33894. Cependant, la similarité avec CVE-2022-24771 et la nature de la vulnérabilité suggèrent qu'une exploitation pourrait être possible, surtout si des clés avec un petit exposant public sont largement utilisées. L'absence de preuve de concept (POC) publique ne diminue pas le risque, car un attaquant pourrait développer un exploit sans le rendre public. La vulnérabilité est classée comme de haute gravité (CVSS score de 7.5), ce qui indique un risque significatif et justifie une action rapide pour appliquer les correctifs ou implémenter des solutions de contournement. Il est important de surveiller les sources d'informations sur la sécurité pour détecter d'éventuels rapports d'exploitation.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace pour corriger CVE-2026-33894 est de mettre à jour forge vers la version 1.4.0 ou supérieure. Cette version inclut les correctifs nécessaires pour valider correctement les signatures RSASSA PKCS#1 v1.5 et empêcher la falsification. Si une mise à jour n'est pas immédiatement possible, une solution de contournement consiste à désactiver la prise en charge de RSASSA PKCS#1 v1.5 ou à utiliser des clés avec un exposant public plus élevé (e > 3). Il est crucial de tester minutieusement toute solution de contournement avant de la déployer en production pour s'assurer qu'elle n'affecte pas la fonctionnalité de l'application. Après la mise à jour ou l'implémentation d'un contournement, il est recommandé de vérifier que la fonctionnalité de signature fonctionne toujours correctement et que les signatures sont validées de manière sécurisée. Une analyse de code pour identifier et supprimer toute utilisation de clés avec un petit exposant public est également conseillée.
Actualice la biblioteca Forge a la versión 1.4.0 o superior. Esta versión corrige la vulnerabilidad de falsificación de firmas RSA-PKCS. Para actualizar, utilice el gestor de paquetes npm: `npm install node-forge@latest`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33894 is a vulnerability in the Forge library that allows attackers to forge RSASSA PKCS#1 v1.5 signatures using low public exponent keys.
You are affected if you are using Forge versions prior to 1.4.0 and rely on RSASSA PKCS#1 v1.5 signatures with a public exponent of 3.
Upgrade to Forge version 1.4.0 or later to resolve this vulnerability.
Currently, there are no publicly known exploits for CVE-2026-33894, but the potential for exploitation exists.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-33894 for more information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.