Plateforme
nodejs
Composant
jsrsasign
Corrigé dans
11.1.1
11.1.1
La vulnérabilité CVE-2026-4603 affecte les versions de la bibliothèque jsrsasign antérieures à 11.1.1. Elle se manifeste par une division par zéro due à des erreurs de traitement dans les chemins d'analyse de RSASetPublic/KEYUTIL (ext/rsa.js) et dans la logique de réduction de BigInteger.modPowInt (ext/jsbn.js). Cette faille permet à un attaquant de manipuler les opérations de clé publique RSA, potentiellement masquant des erreurs de clé invalide.
Un attaquant peut exploiter cette vulnérabilité en fournissant une clé publique RSA (JWK) dont le module, après décodage, est égal à zéro. Cela force les opérations RSA, telles que la vérification de signature et le chiffrement, à produire des sorties nulles déterministes. L'attaquant peut ainsi contourner les mécanismes de validation de la clé, masquant le fait qu'une clé invalide est utilisée. Bien que l'impact direct puisse sembler limité, la capacité de masquer des erreurs de validation de clé peut être exploitée pour des attaques plus complexes, telles que la falsification de signatures numériques ou le déchiffrement de données sensibles avec une clé incorrecte. La vulnérabilité est particulièrement préoccupante dans les applications qui s'appuient sur jsrsasign pour la gestion de clés et la cryptographie.
La vulnérabilité CVE-2026-4603 a été publiée le 23 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'est connu. La probabilité d'exploitation est considérée comme faible à modérée, en raison de la nécessité d'une connaissance approfondie du format JWK et des opérations RSA. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
Applications and services utilizing jsrsasign for RSA key operations, particularly those handling JSON Web Keys (JWKs) from untrusted sources, are at risk. This includes Node.js applications relying on jsrsasign for signing, encryption, or verification. Shared hosting environments where multiple applications share the same jsrsasign installation are also vulnerable.
• nodejs:
npm list jsrsasignThis command will list installed jsrsasign versions. Check if the version is less than 11.1.1. • nodejs:
find / -name "ext/rsa.js" -o -name "ext/jsbn.js" -printLocate these files to confirm their presence and potentially examine their contents for the vulnerable code. • generic web: Review application logs for any instances of RSA operations returning zero values, especially when handling JWK inputs. Look for error messages related to invalid keys or modulus values.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour jsrsasign vers la version 11.1.1 ou supérieure, qui corrige la division par zéro. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner attentivement les données d'entrée des fonctions RSASetPublic et KEYUTIL, en particulier les clés publiques RSA au format JWK. Implémentez une validation stricte des clés RSA avant de les utiliser dans des opérations cryptographiques. Envisagez d'utiliser un pare-feu applicatif web (WAF) pour détecter et bloquer les requêtes contenant des clés publiques RSA malformées. Surveillez les journaux d'application pour détecter des erreurs liées à la validation de clé ou des opérations RSA inattendues.
Mettez à jour la dépendance jsrsasign à la version 11.1.1 ou supérieure. Cela corrige la vulnérabilité de division par zéro. Exécutez `npm install jsrsasign@latest` ou `yarn upgrade jsrsasign` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4603 describes a division by zero vulnerability in jsrsasign versions before 11.1.1, affecting RSA public-key operations due to flawed parsing and calculations, potentially masking errors.
You are affected if you are using jsrsasign versions earlier than 11.1.1 in your Node.js applications and handling JWKs.
Upgrade jsrsasign to version 11.1.1 or later. As a temporary workaround, implement input validation to prevent zero-valued moduli from being processed.
There is currently no evidence of active exploitation of CVE-2026-4603, but the vulnerability's nature makes it potentially exploitable.
Refer to the jsrsasign project's official release notes and security advisories on their GitHub repository for the most up-to-date information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.