प्लेटफ़ॉर्म
nodejs
घटक
node-forge
में ठीक किया गया
1.4.1
1.4.0
CVE-2026-33896, node-forge में एक भेद्यता है, जहां pki.verifyCertificateChain() फ़ंक्शन RFC 5280 basicConstraints आवश्यकताओं को लागू नहीं करता है. इससे कोई भी लीफ सर्टिफिकेट, जिसमें ये एक्सटेंशन नहीं हैं, CA के रूप में कार्य कर सकता है और अन्य सर्टिफिकेट पर हस्ताक्षर कर सकता है, जिसे node-forge वैध मानेगा. यह उच्च प्रभाव वाला है क्योंकि यह दुर्भावनापूर्ण प्रमाणपत्रों को वैध के रूप में स्वीकार करने की अनुमति देता है. यह समस्या node-forge के संस्करण 1.4.0 में ठीक की गई है.
forge में CVE-2026-33896 अनुमति देता है कि basicConstraints और keyUsage एक्सटेंशन की कमी वाले लीफ प्रमाणपत्र प्रमाणन प्राधिकरण (CA) के रूप में कार्य करें। pki.verifyCertificateChain() फ़ंक्शन RFC 5280 के बुनियादी प्रतिबंधों को लागू नहीं करता है जब एक मध्यवर्ती प्रमाणपत्र में ये एक्सटेंशन नहीं होते हैं। इसका मतलब है कि एक लीफ प्रमाणपत्र, भले ही इसे CA के रूप में डिज़ाइन न किया गया हो, अन्य प्रमाणपत्रों पर हस्ताक्षर कर सकता है, और node-forge उन्हें मान्य के रूप में स्वीकार करेगा। यह विश्वास श्रृंखला की अखंडता को कमजोर करता है और मैन-इन-द-मिडिल हमलों या नकली प्रमाणपत्रों के निर्माण को सक्षम कर सकता है।
एक हमलावर इस भेद्यता का फायदा उठाकर basicConstraints और keyUsage एक्सटेंशन के बिना एक लीफ प्रमाणपत्र बना सकता है। फिर, हमलावर इस प्रमाणपत्र का उपयोग एक दुर्भावनापूर्ण प्रमाणपत्र पर हस्ताक्षर करने के लिए कर सकता है जो एक वैध प्रमाणपत्र के समान दिखता है। यदि कोई एप्लिकेशन प्रमाणपत्र श्रृंखला को सत्यापित करने के लिए node-forge का उपयोग करता है और अपडेट नहीं किया गया है, तो यह दुर्भावनापूर्ण प्रमाणपत्र को मान्य के रूप में स्वीकार करेगा, जिससे हमलावर नेटवर्क ट्रैफ़िक को बाधित और संशोधित करने की अनुमति देगा।
Applications built on Node.js that rely on node-forge for certificate validation are at risk. This includes applications handling TLS connections, verifying digital signatures, or performing other certificate-based authentication. Specifically, applications that accept certificates from untrusted sources or have weak certificate validation policies are particularly vulnerable.
• nodejs:
Get-Process | Where-Object {$_.ProcessName -match 'node'}• nodejs: Check for node-forge versions prior to 1.4.0 using npm list node-forge.
• nodejs: Review application code for calls to pki.verifyCertificateChain() and assess the context of certificate validation.
• generic web: Monitor server logs for errors related to certificate validation or unexpected certificate chains.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
समाधान forge को संस्करण 1.4.0 या उच्चतर में अपग्रेड करना है। यह संस्करण RFC 5280 के बुनियादी प्रतिबंधों को ठीक से लागू करके इस भेद्यता को ठीक करता है। यदि तत्काल अपग्रेड संभव नहीं है, तो अपने एप्लिकेशन में उपयोग किए जा रहे सभी प्रमाणपत्रों की सावधानीपूर्वक समीक्षा करें और सुनिश्चित करें कि मध्यवर्ती प्रमाणपत्रों में basicConstraints और keyUsage एक्सटेंशन सही ढंग से कॉन्फ़िगर किए गए हैं। अपने एप्लिकेशन में अतिरिक्त सत्यापन लागू करने पर विचार करें ताकि उन पर भरोसा करने से पहले प्रमाणपत्रों की वैधता को सत्यापित किया जा सके।
फ़ॉर्ज लाइब्रेरी को संस्करण 1.4.0 या उससे ऊपर के संस्करण में अपडेट करें। यह संस्करण प्रमाणपत्र श्रृंखला सत्यापन में (basicConstraints) को छोड़ने के भेद्यता को ठीक करता है। अपडेट करने से RFC 5280 आवश्यकताओं का अनुपालन सुनिश्चित होता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
RFC 5280 एक मानक है जो X.509 प्रमाणपत्रों को मान्य करने के लिए आवश्यकताओं को परिभाषित करता है, जिसमें बुनियादी प्रतिबंध और कुंजी उपयोग शामिल हैं।
ये एक्सटेंशन इंगित करते हैं कि क्या एक प्रमाणपत्र को CA या लीफ प्रमाणपत्र के रूप में उपयोग करने का इरादा है, और संबंधित निजी कुंजी के साथ कौन सी क्रियाएं की जा सकती हैं।
अपने एप्लिकेशन में उपयोग किए जा रहे सभी प्रमाणपत्रों की सावधानीपूर्वक समीक्षा करें और सुनिश्चित करें कि मध्यवर्ती प्रमाणपत्रों में basicConstraints और keyUsage एक्सटेंशन सही ढंग से कॉन्फ़िगर किए गए हैं। अपने एप्लिकेशन में अतिरिक्त सत्यापन लागू करें।
हाँ, कई ऑनलाइन और कमांड-लाइन उपकरण हैं जो एक प्रमाणपत्र के एक्सटेंशन को सत्यापित कर सकते हैं। 'X.509 प्रमाणपत्र दर्शक' या 'openssl प्रमाणपत्र जानकारी' खोजें।
यदि अपडेट नहीं किया गया है तो node-forge का उपयोग करके प्रमाणपत्र श्रृंखला को सत्यापित करने वाला कोई भी एप्लिकेशन संभावित रूप से भेद्य है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।