Plateforme
nodejs
Composant
node-forge
Corrigé dans
1.4.1
1.4.0
CVE-2026-33896 est une vulnérabilité dans la fonction pki.verifyCertificateChain() de node-forge qui ne respecte pas les exigences RFC 5280 concernant les contraintes de base. Cela permet à un certificat feuille d'agir comme une autorité de certification et de signer d'autres certificats. Les versions de node-forge antérieures à 1.4.0 sont affectées. La vulnérabilité est corrigée dans la version 1.4.0.
La vulnérabilité CVE-2026-33896 dans forge permet aux certificats feuilles dépourvus des extensions basicConstraints et keyUsage d'agir en tant qu'Autorités de Certification (CA). La fonction pki.verifyCertificateChain() n'applique pas les exigences de base de restriction du RFC 5280 lorsque le certificat intermédiaire ne possède pas ces extensions. Cela signifie qu'un certificat feuille, même s'il n'est pas destiné à être une CA, peut signer d'autres certificats, et node-forge les acceptera comme valides. Cela compromet l'intégrité de la chaîne de confiance et peut permettre des attaques de l'homme du milieu (man-in-the-middle) ou la création de certificats frauduleux.
Un attaquant pourrait exploiter cette vulnérabilité en créant un certificat feuille sans les extensions basicConstraints et keyUsage. L'attaquant pourrait ensuite utiliser ce certificat pour signer un certificat malveillant ressemblant à un certificat légitime. Si une application utilise node-forge pour vérifier les chaînes de certificats et n'est pas mise à jour, elle acceptera le certificat malveillant comme valide, permettant à l'attaquant d'intercepter et de modifier le trafic réseau.
Applications built on Node.js that rely on node-forge for certificate validation are at risk. This includes applications handling TLS connections, verifying digital signatures, or performing other certificate-based authentication. Specifically, applications that accept certificates from untrusted sources or have weak certificate validation policies are particularly vulnerable.
• nodejs:
Get-Process | Where-Object {$_.ProcessName -match 'node'}• nodejs: Check for node-forge versions prior to 1.4.0 using npm list node-forge.
• nodejs: Review application code for calls to pki.verifyCertificateChain() and assess the context of certificate validation.
• generic web: Monitor server logs for errors related to certificate validation or unexpected certificate chains.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution consiste à mettre à niveau vers la version 1.4.0 ou supérieure de forge. Cette version corrige la vulnérabilité en appliquant correctement les restrictions de base du RFC 5280. Si une mise à niveau immédiate n'est pas possible, examinez attentivement tous les certificats utilisés dans votre application et assurez-vous que les certificats intermédiaires ont les extensions basicConstraints et keyUsage configurées correctement. Envisagez de mettre en œuvre des validations supplémentaires dans votre application pour vérifier la validité des certificats avant de leur faire confiance.
Mettez à jour la bibliothèque Forge à la version 1.4.0 ou supérieure. Cette version corrige la vulnérabilité d'omission de (basicConstraints) dans la vérification de la chaîne de certificats. La mise à jour assure que les exigences de RFC 5280 sont respectées.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le RFC 5280 est une norme qui définit les exigences pour la validation des certificats X.509, y compris les contraintes de base et l'utilisation des clés.
Ces extensions indiquent si un certificat est destiné à être une CA ou un certificat feuille, et quelles opérations peuvent être effectuées avec la clé privée associée.
Examinez attentivement tous les certificats utilisés dans votre application et assurez-vous que les certificats intermédiaires ont les extensions basicConstraints et keyUsage configurées correctement. Mettez en œuvre des validations supplémentaires dans votre application.
Oui, plusieurs outils en ligne et en ligne de commande peuvent vérifier les extensions d'un certificat. Recherchez 'X.509 certificate viewer' ou 'openssl certificate info'.
Oui, toute application utilisant node-forge pour vérifier les chaînes de certificats est potentiellement vulnérable si elle n'est pas mise à niveau vers la version 1.4.0 ou supérieure.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.