Plateforme
nodejs
Composant
jsrsasign
Corrigé dans
11.1.1
11.1.1
La vulnérabilité CVE-2026-4601 affecte les versions de la bibliothèque jsrsasign antérieures à 11.1.1. Elle permet un contournement de mesure cryptographique dans le processus de signature DSA, permettant potentiellement à un attaquant de récupérer la clé privée. Cette faille a été publiée le 23 mars 2026 et une version corrigée (11.1.1) est disponible.
Cette vulnérabilité est particulièrement critique car elle permet la récupération de la clé privée utilisée pour la signature numérique. Un attaquant pourrait exploiter cette faille pour signer des documents ou des logiciels malveillants en se faisant passer pour une entité légitime, compromettant ainsi l'intégrité et l'authenticité des données. La récupération de la clé privée ouvre également la porte à d'autres attaques, telles que l'usurpation d'identité et l'accès non autorisé à des systèmes protégés par cette clé. L'impact est amplifié si jsrsasign est utilisé dans des applications critiques ou des infrastructures sensibles.
La vulnérabilité CVE-2026-4601 est actuellement en cours d'évaluation en termes de probabilité d'exploitation. Il n'y a pas d'indications d'exploitation active à ce jour, ni de preuves de campagnes ciblées. Des preuves de concept (PoC) publiques pourraient émerger, augmentant ainsi le risque d'exploitation. Le NVD et CISA ont publié des informations sur cette vulnérabilité le 23 mars 2026.
Applications and services utilizing the jsrsasign library for DSA-based cryptographic operations are at risk. This includes Node.js applications, web servers, and any system relying on jsrsasign for secure communication or data protection. Specifically, applications that handle sensitive data like financial transactions or authentication tokens are at higher risk.
• nodejs:
npm list jsrsasignCheck the installed version. If it's less than 11.1.1, the system is vulnerable. • nodejs:
find / -name "jsrsasign*" -type d -printLocate jsrsasign directories to identify potential installation locations and versions.
• generic web:
Inspect application code for usage of KJUR.crypto.DSA.signWithMessageHash. Review input validation routines related to DSA signatures.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour jsrsasign vers la version 11.1.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement les fonctionnalités de signature DSA ou de limiter l'utilisation de jsrsasign aux environnements non critiques. Il n'existe pas de correctifs spécifiques ni de règles WAF/proxy applicables à cette vulnérabilité, car la correction réside dans la mise à jour de la bibliothèque. Après la mise à jour, vérifiez l'intégrité de la bibliothèque jsrsasign en comparant son empreinte cryptographique avec celle fournie par le fournisseur.
Actualice la dependencia jsrsasign a la versión 11.1.1 o superior. Esto corrige la vulnerabilidad de firma DSA que permite la recuperación de la clave privada. Ejecute `npm install jsrsasign@latest` o `yarn upgrade jsrsasign` para actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4601 is a HIGH severity vulnerability in jsrsasign versions before 11.1.1 that allows attackers to recover the private key used for DSA signing by manipulating signatures.
If you are using jsrsasign versions prior to 11.1.1, you are potentially affected by this vulnerability. Check your installed version immediately.
Upgrade to jsrsasign version 11.1.1 or later to resolve this vulnerability. If immediate upgrade is not possible, implement input validation on DSA signatures.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the jsrsasign project's official website and security advisories for the latest information and updates regarding CVE-2026-4601.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.