Plateforme
nodejs
Composant
jsrsasign
Corrigé dans
11.1.1
11.1.1
La vulnérabilité CVE-2026-4600 affecte les versions de la bibliothèque jsrsasign antérieures à 11.1.1. Elle permet un forgeage de signature cryptographique via une validation incorrecte des paramètres de domaine DSA dans la fonction KJUR.crypto.DSA.setPublic et le flux de vérification DSA/X.509 associé. Cette faille peut permettre à un attaquant de créer des signatures DSA ou des certificats X.509 frauduleux, acceptés par la fonction X509.verifySignature().
Un attaquant exploitant cette vulnérabilité peut falsifier des signatures numériques DSA ou des certificats X.509. Cela pourrait permettre de compromettre l'intégrité des données, d'usurper l'identité d'utilisateurs légitimes, ou de contourner des mécanismes d'authentification. La capacité à générer des certificats frauduleux pourrait également être utilisée pour lancer des attaques de type « man-in-the-middle » (MITM) ou pour distribuer des logiciels malveillants en se faisant passer pour une source fiable. Le succès de l'attaque repose sur la fourniture de paramètres de domaine malveillants, tels que g=1, y=1, et un r=1 fixe, qui rendent l'équation de vérification toujours vraie, indépendamment de la valeur de hachage.
Cette vulnérabilité a été rendue publique le 2026-03-23. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité de comprendre le fonctionnement interne de la bibliothèque jsrsasign et de la création de paramètres de domaine malveillants. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant ainsi le risque d'exploitation.
Applications and services built on Node.js that utilize the jsrsasign library for cryptographic operations, particularly those involved in authentication, data signing, or secure communication, are at risk. Projects relying on older versions of jsrsasign, especially those with limited security review processes, are particularly vulnerable.
• nodejs:
Get-Process | Where-Object {$_.ProcessName -like '*node*'}• nodejs:
Get-WinEvent -LogName Application -Filter "EventID=4624" -MaxEvents 10 | Select-String -Pattern "jsrsasign"• generic web: Inspect network traffic for requests containing manipulated DSA signatures or X.509 certificates. Look for unusual domain parameters in the signature data.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque jsrsasign vers la version 11.1.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner attentivement les sources des signatures DSA et des certificats X.509 utilisés par votre application. Bien qu'il n'existe pas de contournement direct, une analyse rigoureuse des paramètres de domaine DSA avant la vérification peut aider à détecter des valeurs suspectes. Il est également conseillé de surveiller les journaux d'audit pour détecter toute tentative de signature ou de vérification suspecte. Après la mise à jour, vérifiez que la validation des signatures DSA fonctionne correctement en effectuant des tests de signature et de vérification avec des données connues.
Mettez à jour la dépendance jsrsasign à la version 11.1.1 ou supérieure. Cela corrige la vulnérabilité de vérification incorrecte de la signature cryptographique. Exécutez `npm install jsrsasign@latest` ou `yarn upgrade jsrsasign` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4600 is a vulnerability in jsrsasign versions before 11.1.1 that allows attackers to forge DSA signatures due to improper domain parameter validation, potentially leading to unauthorized actions.
You are affected if your application uses jsrsasign versions prior to 11.1.1. Check your project dependencies to determine if you are using a vulnerable version.
Upgrade to jsrsasign version 11.1.1 or later to remediate the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like strict input validation.
While no active exploitation has been confirmed, the vulnerability's nature suggests it is likely to be exploited once a proof-of-concept is developed.
Refer to the jsrsasign project's official website or security advisories for the latest information and updates regarding CVE-2026-4600.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.