Plateforme
nodejs
Composant
node-forge
Corrigé dans
1.4.1
1.4.0
CVE-2026-33895 est une vulnérabilité de falsification de signature Ed25519 affectant node-forge. La vérification de signature accepte les signatures non canoniques forgées, permettant potentiellement de contourner l'authentification et l'autorisation. Cette vulnérabilité affecte les versions antérieures à 1.4.0. La version 1.4.0 corrige ce problème.
La vulnérabilité CVE-2026-33895 dans la bibliothèque 'forge' permet la vérification de signatures Ed25519 falsifiées. Plus précisément, la bibliothèque accepte les signatures non canoniques où le scalaire 'S' n'est pas réduit modulo l'ordre du groupe (S >= L). Cela signifie qu'une signature valide et sa variante 'S + L' sont toutes deux acceptées comme valides, ce qui contredit les spécifications RFC8032. Cette vulnérabilité de malléabilité de la signature a été exploitée en pratique pour contourner les mécanismes d'authentification et d'autorisation. La sévérité CVSS est de 7.5, ce qui indique un risque important. Les versions antérieures à 1.4.0 de la bibliothèque forge sont concernées.
Cette vulnérabilité est exploitée en tirant parti de la malléabilité des signatures Ed25519. Un attaquant peut générer une signature non canonique (S + L) qui est acceptée comme valide par la bibliothèque 'forge' vulnérable, mais rejetée par les implémentations conformes (comme Node.js crypto.verify avec OpenSSL). Cela permet à l'attaquant de falsifier l'identité d'un utilisateur ou d'un système, en contournant les contrôles d'accès et en compromettant la sécurité du système. La facilité de génération de ces signatures malléables rend l'exploitation relativement simple.
Applications and services relying on node-forge for Ed25519 signature verification are at risk. This includes Node.js applications using node-forge directly or indirectly through dependencies. Specifically, systems with older, unpatched versions of node-forge are vulnerable, and those relying on node-forge for critical authentication or authorization processes face the highest risk.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -match 'node'}• nodejs / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=4688 -ProviderName 'Microsoft-Windows-Sysmon/Operational' -MessageText '*node-forge*'"• generic web:
curl -I https://your-application.com/api/verify-signature | grep 'Signature:'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour la bibliothèque 'forge' à la version 1.4.0 ou supérieure. Cette version corrige la vulnérabilité en mettant en œuvre une vérification appropriée du scalaire 'S' pour s'assurer qu'il est correctement réduit modulo l'ordre du groupe. Si une mise à jour n'est pas immédiatement possible, examinez et renforcez les mécanismes d'authentification et d'autorisation qui dépendent des signatures Ed25519 générées ou vérifiées par la bibliothèque 'forge'. Il est crucial d'évaluer l'impact de cette vulnérabilité sur les systèmes affectés et de prioriser la mise à jour ou l'atténuation en conséquence. La surveillance des journaux de sécurité peut aider à détecter les tentatives d'exploitation.
Actualice la biblioteca Forge a la versión 1.4.0 o superior. Esto corrige la vulnerabilidad de falsificación de firmas Ed25519 al agregar la verificación faltante S > L.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
La malléabilité de la signature est une propriété de certains algorithmes de signature numérique où une signature valide peut être modifiée pour représenter un message différent sans invalider la signature. Dans ce cas, l'ajout de 'L' à 'S' crée une signature qui est toujours acceptée par la bibliothèque vulnérable.
Node.js crypto.verify utilise OpenSSL, qui implémente la vérification de signature Ed25519 conformément à RFC8032, en rejetant les signatures non canoniques.
Si une mise à jour immédiate n'est pas possible, examinez et renforcez vos mécanismes d'authentification et d'autorisation. Envisagez de mettre en œuvre des mesures supplémentaires, telles que la vérification de l'empreinte digitale du certificat, pour atténuer le risque.
Vérifiez la version de la bibliothèque 'forge' que vous utilisez. Si elle est antérieure à la version 1.4.0, votre système est vulnérable. La surveillance des journaux de sécurité à la recherche de schémas de signature suspects peut également aider.
Bien que cette vulnérabilité se concentre sur la bibliothèque 'forge', il est important d'examiner d'autres bibliothèques utilisant Ed25519 pour s'assurer qu'elles mettent en œuvre une vérification de signature sécurisée.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.