CVE-2026-33894 क्या है — node-forge में?

CVE-2026-33894 forge लाइब्रेरी में RSASSA PKCS#1 v1.5 हस्ताक्षर सत्यापन प्रक्रिया में एक भेद्यता है जो हमलावरों को जाली हस्ताक्षर बनाने की अनुमति देती है।

क्या मैं node-forge में CVE-2026-33894 से प्रभावित हूं?

यदि आप forge लाइब्रेरी के संस्करण 1.4.0 से पहले का उपयोग कर रहे हैं, तो आप CVE-2026-33894 से प्रभावित हो सकते हैं।

node-forge में CVE-2026-33894 को कैसे ठीक करें?

CVE-2026-33894 को ठीक करने के लिए forge लाइब्रेरी को संस्करण 1.4.0 या उच्चतर में अपग्रेड करें।

क्या CVE-2026-33894 का सक्रिय रूप से शोषण किया जा रहा है?

वर्तमान में, CVE-2026-33894 के लिए कोई सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं है।

CVE-2026-33894 के लिए node-forge का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

आप NVD (https://nvd.nist.gov/vuln/detail/CVE-2026-33894) और डिजिटल बजार सुरक्षा सलाह (https://github.com/digitalbazaar/forge/security/advisories/GHSA-x47j-649w-766p) पर अधिक जानकारी प्राप्त कर सकते हैं।

HIGHCVE-2026-33894CVSS 7.5

फोर्ज में ASN.1 अतिरिक्त फ़ील्ड के कारण RSA-PKCS में हस्ताक्षर जालसाजी है

प्लेटफ़ॉर्म

nodejs

घटक

node-forge

में ठीक किया गया

प्रभाव और हमले की स्थितियाँ

CVE-2026-33894 एक गंभीर भेद्यता है जो forge लाइब्रेरी में RSASSA PKCS#1 v1.5 हस्ताक्षर सत्यापन प्रक्रिया को प्रभावित करती है। यह भेद्यता तब उत्पन्न होती है जब निम्न सार्वजनिक घातांक कुंजी (e=3) का उपयोग किया जाता है। एक हमलावर 'कचरा' बाइट्स को ASN संरचना के भीतर भरकर जाली हस्ताक्षर बना सकता है, जिससे हस्ताक्षर सत्यापन पास हो जाता है। यह Bleichenbacher-शैली की जालसाजी को सक्षम बनाता है, जहां हमलावर वैध हस्ताक्षर के रूप में प्रस्तुत करने के लिए डेटा को हेरफेर कर सकता है। इस भेद्यता का उपयोग करके, हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है जो हस्ताक्षर का उपयोग करके सुरक्षित है, जैसे कि वित्तीय लेनदेन, डिजिटल प्रमाणपत्र, या अन्य गोपनीय जानकारी। Blast radius व्यापक हो सकता है, क्योंकि यह उन सभी अनुप्रयोगों को प्रभावित करता है जो forge लाइब्रेरी का उपयोग RSASSA PKCS#1 v1.5 हस्ताक्षर सत्यापन के लिए करते हैं। यह भेद्यता विशेष रूप से उन प्रणालियों के लिए चिंताजनक है जो सार्वजनिक कुंजी क्रिप्टोग्राफी पर निर्भर करती हैं, क्योंकि यह हस्ताक्षर की अखंडता को खतरे में डालती है। CVE-2022-24771 के समान, यह भेद्यता ASN संरचना के भीतर एक अतिरिक्त क्षेत्र में बाइट्स जोड़ती है, जिससे बचाव करना अधिक कठिन हो जाता है। यह भेद्यता हमलावरों को हस्ताक्षर में न्यूनतम 8 बाइट्स के पैडिंग की कमी का फायदा उठाने की अनुमति देती है, जैसा कि RFC2313 में परिभाषित है, जिससे हमलावर के लिए हस्ताक्षर बनाना और भी आसान हो जाता है।

शमन और वर्कअराउंड

CVE-2026-33894 को ठीक करने का सबसे प्रभावी तरीका forge लाइब्रेरी को संस्करण 1.4.0 या उच्चतर में अपग्रेड करना है। यह संस्करण भेद्यता को संबोधित करने के लिए आवश्यक सुधारों को शामिल करता है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, RSASSA PKCS#1 v1.5 हस्ताक्षर सत्यापन का उपयोग करने से बचें और इसके बजाय अधिक सुरक्षित हस्ताक्षर योजनाओं का उपयोग करें। यदि RSASSA PKCS#1 v1.5 का उपयोग करना अनिवार्य है, तो सुनिश्चित करें कि हस्ताक्षर में न्यूनतम 8 बाइट्स का पैडिंग शामिल है। अपग्रेड या वर्कअराउंड लागू करने से पहले, अपने सिस्टम का बैकअप लेना महत्वपूर्ण है। अपग्रेड के बाद, यह सत्यापित करना महत्वपूर्ण है कि भेद्यता को सफलतापूर्वक ठीक किया गया है। आप forge लाइब्रेरी के नवीनतम संस्करण के साथ हस्ताक्षर सत्यापन का परीक्षण करके ऐसा कर सकते हैं। यह सुनिश्चित करने के लिए कि आपका सिस्टम सुरक्षित है, नियमित रूप से सुरक्षा अपडेट लागू करना भी महत्वपूर्ण है। भेद्यता को ठीक करने के लिए, पहले forge लाइब्रेरी के संस्करण की जांच करें, फिर नवीनतम संस्करण में अपग्रेड करें। अपग्रेड के बाद, सिस्टम को पुनरारंभ करें।

फोर्ज में ASN.1 अतिरिक्त फ़ील्ड के कारण RSA-PKCS में हस्ताक्षर जालसाजी है

प्रभाव और हमले की स्थितियाँ

शोषण संदर्भ

खतरा खुफिया

प्रभावित सॉफ्टवेयर

कमजोरी वर्गीकरण (CWE)

समयरेखा

शमन और वर्कअराउंड

कैसे ठीक करेंअनुवाद हो रहा है…

CVE सुरक्षा न्यूज़लेटर

अक्सर पूछे जाने वाले सवाल

CVE-2026-33894 क्या है — node-forge में?

क्या मैं node-forge में CVE-2026-33894 से प्रभावित हूं?

node-forge में CVE-2026-33894 को कैसे ठीक करें?

क्या CVE-2026-33894 का सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-33894 के लिए node-forge का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

पैकेज जानकारी

क्या आपका प्रोजेक्ट प्रभावित है?