प्लेटफ़ॉर्म
nodejs
घटक
node-forge
में ठीक किया गया
1.4.1
1.4.0
CVE-2026-33895, node-forge में एक भेद्यता है, जो Ed25519 हस्ताक्षर सत्यापन को प्रभावित करती है। यह जाली गैर-मानक हस्ताक्षरों को स्वीकार करता है, जहाँ स्केलर S को समूह क्रम (S >= L) मॉड्यूल को कम नहीं किया जाता है। इस भेद्यता का फायदा प्रमाणीकरण और प्राधिकरण तर्क को बायपास करने के लिए उठाया जा सकता है। यह भेद्यता node-forge के प्रभावित संस्करणों को प्रभावित करती है और संस्करण 1.4.0 में ठीक की गई है।
CVE-2026-33895 'forge' लाइब्रेरी में नकली, गैर-मानक Ed25519 हस्ताक्षर को सत्यापित करने की अनुमति देता है। विशेष रूप से, लाइब्रेरी ऐसे हस्ताक्षर स्वीकार करती है जहां स्केलर 'S' समूह के क्रम से कम नहीं किया जाता है (S >= L)। इसका मतलब है कि एक वैध हस्ताक्षर और इसका 'S + L' भिन्नता दोनों को वैध के रूप में स्वीकार किया जाता है, जो RFC8032 विनिर्देशों का उल्लंघन है। इस हस्ताक्षर परिवर्तनशीलता भेद्यता का उपयोग पहले से ही प्रमाणीकरण और प्राधिकरण तंत्र को बायपास करने के लिए किया गया है। CVSS गंभीरता 7.5 है, जो एक महत्वपूर्ण जोखिम का संकेत देती है। 'forge' लाइब्रेरी के 1.4.0 से पहले के संस्करण प्रभावित हैं।
यह भेद्यता Ed25519 हस्ताक्षर परिवर्तनशीलता का लाभ उठाकर शोषण किया जाता है। एक हमलावर एक गैर-मानक हस्ताक्षर (S + L) उत्पन्न कर सकता है जिसे कमजोर 'forge' लाइब्रेरी द्वारा वैध के रूप में स्वीकार किया जाता है, लेकिन अनुरूप कार्यान्वयन (जैसे OpenSSL के साथ Node.js crypto.verify) द्वारा अस्वीकार कर दिया जाता है। यह हमलावर को उपयोगकर्ता या सिस्टम की पहचान को जाली बनाने, एक्सेस नियंत्रण को बायपास करने और सिस्टम सुरक्षा से समझौता करने की अनुमति देता है। इन परिवर्तनशील हस्ताक्षरों को उत्पन्न करने में आसानी शोषण को अपेक्षाकृत सरल बनाती है।
Applications and services relying on node-forge for Ed25519 signature verification are at risk. This includes Node.js applications using node-forge directly or indirectly through dependencies. Specifically, systems with older, unpatched versions of node-forge are vulnerable, and those relying on node-forge for critical authentication or authorization processes face the highest risk.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -match 'node'}• nodejs / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=4688 -ProviderName 'Microsoft-Windows-Sysmon/Operational' -MessageText '*node-forge*'"• generic web:
curl -I https://your-application.com/api/verify-signature | grep 'Signature:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (7% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान 'forge' लाइब्रेरी को संस्करण 1.4.0 या उच्चतर में अपडेट करना है। यह संस्करण 'S' स्केलर के उचित सत्यापन को लागू करके भेद्यता को ठीक करता है ताकि यह सुनिश्चित किया जा सके कि यह समूह के क्रम से कम है। यदि तुरंत अपडेट करना संभव नहीं है, तो 'forge' लाइब्रेरी द्वारा उत्पन्न या सत्यापित Ed25519 हस्ताक्षरों पर निर्भर प्रमाणीकरण और प्राधिकरण तंत्र की समीक्षा करें और उन्हें मजबूत करें। प्रभावित प्रणालियों पर इस भेद्यता के प्रभाव का आकलन करना और तदनुसार अपडेट या शमन को प्राथमिकता देना महत्वपूर्ण है। सुरक्षा लॉग की निगरानी शोषण प्रयासों का पता लगाने में मदद कर सकती है।
Actualice la biblioteca Forge a la versión 1.4.0 o superior. Esto corrige la vulnerabilidad de falsificación de firmas Ed25519 al agregar la verificación faltante S > L.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
हस्ताक्षर परिवर्तनशीलता कुछ डिजिटल हस्ताक्षर एल्गोरिदम की एक विशेषता है जहां एक वैध हस्ताक्षर को बदले बिना किसी भिन्न संदेश का प्रतिनिधित्व करने के लिए संशोधित किया जा सकता है। इस मामले में, 'S' में 'L' जोड़ने से एक हस्ताक्षर बनता है जिसे अभी भी कमजोर लाइब्रेरी द्वारा स्वीकार किया जाता है।
Node.js crypto.verify OpenSSL का उपयोग करता है, जो RFC8032 के अनुसार Ed25519 हस्ताक्षर सत्यापन को लागू करता है और गैर-मानक हस्ताक्षरों को अस्वीकार करता है।
यदि तत्काल अपग्रेड संभव नहीं है, तो अपने प्रमाणीकरण और प्राधिकरण तंत्र की समीक्षा करें और उन्हें मजबूत करें। जोखिम को कम करने के लिए प्रमाणपत्र फिंगरप्रिंट को सत्यापित करने जैसे अतिरिक्त उपाय करने पर विचार करें।
आपके द्वारा उपयोग की जा रही 'forge' लाइब्रेरी के संस्करण की जांच करें। यदि यह 1.4.0 से पहले का है, तो आपकी प्रणाली कमजोर है। सुरक्षा लॉग में संदिग्ध हस्ताक्षर पैटर्न की निगरानी भी मदद कर सकती है।
हालांकि यह भेद्यता 'forge' लाइब्रेरी पर केंद्रित है, Ed25519 का उपयोग करने वाली अन्य लाइब्रेरी की जांच करना महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि वे सुरक्षित तरीके से हस्ताक्षर सत्यापन को लागू करती हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।