प्लेटफ़ॉर्म
nodejs
घटक
node-forge
में ठीक किया गया
1.4.1
1.4.0
CVE-2026-33891, node-forge लाइब्रेरी में एक Denial of Service (DoS) भेद्यता है। यह समस्या BigInteger.modInverse() फंक्शन में अनंत लूप के कारण होती है, जो 100% CPU उपयोग का कारण बनती है। यह भेद्यता सभी संस्करणों को प्रभावित करती है। संस्करण 1.4.0 में ठीक किया गया।
CVE-2026-33891 एक गंभीर Denial of Service (DoS) भेद्यता है जो node-forge लाइब्रेरी में मौजूद है। यह भेद्यता विशेष रूप से BigInteger.modInverse() फ़ंक्शन में एक अनंत लूप के कारण होती है, जो jsbn लाइब्रेरी से विरासत में मिला है। यदि modInverse() फ़ंक्शन को शून्य मान के साथ कॉल किया जाता है, तो आंतरिक विस्तारित यूक्लिडियन एल्गोरिथ्म एक अप्राप्य निकास स्थिति में प्रवेश करता है, जिसके परिणामस्वरूप प्रक्रिया अनिश्चित काल तक रुक जाती है और 100% CPU का उपयोग करती है। इसका मतलब है कि एक हमलावर, दुर्भावनापूर्ण ढंग से तैयार किए गए इनपुट के साथ, आपके सर्वर या एप्लिकेशन को क्रैश कर सकता है, जिससे सेवा बाधित हो सकती है और उपयोगकर्ताओं को नुकसान हो सकता है। चूंकि node-forge का उपयोग कई अनुप्रयोगों में किया जाता है, इसलिए इस भेद्यता का 'ब्लास्ट रेडियस' काफी बड़ा हो सकता है, जिसमें वेब सर्वर, API और अन्य सेवाएं शामिल हैं जो इस लाइब्रेरी पर निर्भर हैं। डेटा की सीधी चोरी का जोखिम नहीं है, लेकिन सेवा की अनुपलब्धता से महत्वपूर्ण व्यावसायिक संचालन प्रभावित हो सकते हैं। इस भेद्यता का फायदा उठाने के लिए हमलावर को node-forge लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के साथ इंटरैक्ट करने में सक्षम होना होगा।
CVE-2026-33891 के लिए अभी तक सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं हैं (KEV)। इसका मतलब है कि इस भेद्यता का सार्वजनिक रूप से फायदा उठाने के लिए कोई ज्ञात सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (POC) नहीं है। हालांकि, इसका मतलब यह नहीं है कि यह भेद्यता शोषण के लिए असुरक्षित है। एक हमलावर इस भेद्यता का फायदा उठाने के लिए अपना शोषण विकसित कर सकता है। चूंकि भेद्यता एक Denial of Service (DoS) है, इसलिए इसका फायदा उठाने के लिए हमलावर को node-forge लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के साथ इंटरैक्ट करने में सक्षम होना होगा। भेद्यता की गंभीरता और सार्वजनिक शोषण की कमी को देखते हुए, इस भेद्यता को जल्द से जल्द ठीक करना महत्वपूर्ण है।
Applications built on Node.js that utilize the node-forge library for cryptographic operations are at risk. This includes web applications, APIs, and command-line tools. Specifically, projects that haven't been updated recently or those relying on older dependencies are particularly vulnerable.
• nodejs / server:
npm list node-forge # Check installed version• nodejs / server:
ps aux | grep forge # Check for processes using node-forge• nodejs / server:
journalctl -u node -f # Monitor Node.js logs for errors related to BigInteger or modInversedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33891 को ठीक करने का सबसे प्रभावी तरीका node-forge लाइब्रेरी को संस्करण 1.4.0 या उससे ऊपर के संस्करण में अपग्रेड करना है। यह संस्करण भेद्यता को ठीक करने के लिए आवश्यक सुधारों को शामिल करता है। यदि अपग्रेड तुरंत संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप इनपुट सत्यापन लागू कर सकते हैं ताकि यह सुनिश्चित किया जा सके कि BigInteger.modInverse() फ़ंक्शन को शून्य मान के साथ कभी भी कॉल न किया जाए। इनपुट सत्यापन को लागू करते समय, यह सुनिश्चित करें कि यह आपके एप्लिकेशन के सभी प्रासंगिक इनपुट बिंदुओं पर लागू किया गया है जो node-forge लाइब्रेरी का उपयोग करते हैं। अपग्रेड या कार्यarounds को लागू करने के बाद, यह सत्यापित करना महत्वपूर्ण है कि भेद्यता को सफलतापूर्वक कम किया गया है। आप यह सुनिश्चित करने के लिए परीक्षण चला सकते हैं कि BigInteger.modInverse() फ़ंक्शन को शून्य मान के साथ कॉल करने पर अब अनंत लूप नहीं होता है। इस प्रक्रिया को सावधानीपूर्वक अनुक्रमित करें, पहले परीक्षण वातावरण में अपग्रेड करें, फिर उत्पादन में लागू करें।
Actualice la biblioteca node-forge a la versión 1.4.0 o superior. Esta versión corrige la vulnerabilidad de denegación de servicio causada por un bucle infinito en la función BigInteger.modInverse() al recibir un valor cero como entrada. La actualización evitará que el proceso se cuelgue y consuma el 100% de la CPU.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33891 node-forge लाइब्रेरी में एक Denial of Service (DoS) भेद्यता है जो BigInteger.modInverse() फ़ंक्शन में एक अनंत लूप के कारण होती है।
node-forge लाइब्रेरी के सभी संस्करण, जिसमें नवीनतम संस्करण भी शामिल है, इस भेद्यता से प्रभावित हैं।
CVE-2026-33891 को ठीक करने के लिए node-forge लाइब्रेरी को संस्करण 1.4.0 या उससे ऊपर के संस्करण में अपग्रेड करें।
CVE-2026-33891 के लिए अभी तक सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं हैं।
आप National Vulnerability Database (NVD) पर अधिक जानकारी पा सकते हैं: https://nvd.nist.gov/vuln/detail/CVE-2026-33891
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।