Plateforme
nodejs
Composant
jsrsasign
Corrigé dans
11.1.1
11.1.1
La vulnérabilité CVE-2026-4599 affecte la bibliothèque jsrsasign, versions 7.0.0 et antérieures à 11.1.1. Elle se manifeste par une comparaison incomplète avec des facteurs manquants dans les fonctions getRandomBigIntegerZeroToMax et getRandomBigIntegerMinToMax, permettant potentiellement à un attaquant de récupérer la clé privée. Cette faille critique impacte les applications Node.js utilisant jsrsasign et une mise à jour vers la version 11.1.1 est disponible pour corriger le problème.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter la comparaison incorrecte pour influencer la génération des nonces DSA (Digital Signature Algorithm) lors de la signature. En manipulant ces nonces, l'attaquant peut, en théorie, déduire la clé privée utilisée par jsrsasign. La compromission de la clé privée permettrait alors de signer des transactions frauduleuses, d'usurper l'identité de l'application et potentiellement de compromettre l'ensemble du système. Bien que l'exploitation directe puisse être complexe, la possibilité de récupération de la clé privée représente un risque majeur, similaire à des vulnérabilités affectant des algorithmes cryptographiques fondamentaux.
Le CVE-2026-4599 a été publié le 23 mars 2026. Bien qu'il n'y ait pas d'indication d'exploitation active à ce jour, la gravité critique de la vulnérabilité et la possibilité de récupération de la clé privée justifient une attention particulière. Il n'est pas listé sur le KEV (Known Exploited Vulnerabilities) de CISA au moment de la rédaction, et l'EPSS score n'est pas encore disponible. Il est probable que des preuves de concept (PoC) seront publiés prochainement, augmentant le risque d'exploitation.
Applications and services built on Node.js that utilize the jsrsasign library for digital signature generation, particularly those relying on DSA signatures, are at risk. This includes web applications, command-line tools, and backend services that process sensitive data requiring cryptographic protection. Projects using older versions of jsrsasign in production environments are particularly vulnerable.
• nodejs / server:
npm list jsrsasign
# Check version. If < 11.1.1, upgrade immediately.• generic web:
curl -I <your_application_url>
# Check for any unusual headers or responses related to signature generation.disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour jsrsasign vers la version 11.1.1 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement les fonctionnalités utilisant getRandomBigIntegerZeroToMax et getRandomBigIntegerMinToMax, si cela est acceptable pour votre application. Il n'existe pas de contournement WAF ou proxy direct pour cette vulnérabilité, car elle réside dans la logique interne de la bibliothèque. Surveillez attentivement les journaux d'audit pour détecter des activités suspectes liées à la génération de signatures numériques.
Actualice la dependencia jsrsasign a la versión 11.1.1 o superior. Esto corrige la vulnerabilidad de comparación incompleta que podría permitir la recuperación de la clave privada. Ejecute `npm install jsrsasign@latest` o `yarn upgrade jsrsasign` para actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4599 is a critical vulnerability in jsrsasign versions 7.0.0 to 11.1.1 that allows an attacker to recover the private key used for DSA signatures due to flawed comparison logic.
If you are using jsrsasign version 7.0.0 or later, and less than 11.1.1, you are potentially affected. Immediately check your dependencies and upgrade.
Upgrade to jsrsasign version 11.1.1 or later to resolve this vulnerability. This is the recommended and most effective mitigation.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the jsrsasign project's official website and GitHub repository for updates and advisories related to CVE-2026-4599.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.