Plateforme
nodejs
Composant
jsrsasign
Corrigé dans
11.1.1
11.1.1
La vulnérabilité CVE-2026-4602 affecte les versions de la bibliothèque jsrsasign antérieures à 11.1.1. Elle se manifeste par une conversion incorrecte de types numériques, spécifiquement lors du traitement des exposants négatifs dans le module ext/jsbn2.js. Cette faille permet à un attaquant de manipuler le calcul des inverses modulaires, compromettant ainsi la vérification des signatures et potentiellement conduisant à une compromission de la sécurité. La version corrigée est 11.1.1.
Cette vulnérabilité permet à un attaquant de contourner les mécanismes de vérification de signature. En exploitant la conversion incorrecte de types numériques, l'attaquant peut forcer le calcul d'un inverse modulaire erroné. Cela signifie qu'une signature malveillante pourrait être acceptée comme valide, même si elle n'a pas été générée par la clé privée légitime. L'impact est significatif car il permet de falsifier des transactions, d'accéder à des données sensibles ou de compromettre l'intégrité de systèmes qui dépendent de la signature numérique pour l'authentification et l'autorisation. Le risque est exacerbé si jsrsasign est utilisé dans des applications critiques telles que les systèmes de gestion de clés ou les plateformes d'échange de cryptomonnaies.
La vulnérabilité CVE-2026-4602 a été publiée le 23 mars 2026. Il n'y a pas d'informations disponibles concernant son inclusion dans KEV ou son score EPSS. Aucune preuve d'exploitation active n'a été signalée à ce jour. Consultez la page NVD (National Vulnerability Database) pour les mises à jour et les informations complémentaires.
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque jsrsasign vers la version 11.1.1 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner attentivement le code qui utilise jsrsasign pour identifier les points d'entrée potentiels pour l'exploitation de cette vulnérabilité. En attendant la mise à jour, il est possible d'appliquer des mesures de sécurité supplémentaires, telles que la validation stricte des signatures reçues et la limitation des droits d'accès aux ressources critiques. Après la mise à jour, vérifiez que la fonctionnalité de signature fonctionne correctement en effectuant des tests de signature et de vérification avec des données connues.
Actualice la versión del paquete jsrsasign a la versión 11.1.1 o superior. Esto corregirá la vulnerabilidad relacionada con el manejo incorrecto de exponentes negativos en la función modPow, evitando posibles ataques de verificación de firmas.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
It's a vulnerability in jsrsasign versions before 11.1.1 that allows incorrect numeric type conversions, enabling signature forgery.
If you are using jsrsasign versions earlier than 11.1.1, you are potentially vulnerable. Check your project dependencies.
Upgrade to jsrsasign version 11.1.1 or later to resolve this vulnerability. If upgrading is not possible, implement input validation.
Currently, there are no known public exploits or active campaigns targeting CVE-2026-4602.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-4602 for detailed information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.