फोर्ज में ASN.1 अतिरिक्त फ़ील्ड के कारण RSA-PKCS में हस्ताक्षर जालसाजी है

फोर्ज (जिसे `node-forge` भी कहा जाता है) जावास्क्रिप्ट में ट्रांसपोर्ट लेयर सिक्योरिटी का एक मूल कार्यान्वयन है। संस्करण 1.4.0 से पहले, RSASSA PKCS#1 v1.5 हस्ताक्षर सत्यापन कम सार्वजनिक घातांक कुंजियों (e=3) के लिए जाली हस्ताक्षरों को स्वीकार करता है। हमलावर सत्यापन पास करने वाले हस्ताक्षर का निर्माण करने के लिए ASN संरचना के भीतर “कचरा” बाइट्स भरकर हस्ताक्षरों को जाली बना सकते हैं, जिससे Bleichenbacher शैली की जालसाजी सक्षम हो जाती है। यह समस्या CVE-2022-24771 के समान है, लेकिन यह ASN संरचना के भीतर एक अतिरिक्त फ़ील्ड में बाइट्स जोड़ती है, न कि इसके बाहर। इसके अतिरिक्त, फोर्ज यह मान्य नहीं करता है कि हस्ताक्षरों में विनिर्देश द्वारा परिभाषित न्यूनतम 8 बाइट्स की पैडिंग शामिल है, जो हमलावरों को Bleichenbacher जालसाजी बनाने के लिए अतिरिक्त स्थान प्रदान करता है। संस्करण 1.4.0 समस्या को ठीक करता है।