プラットフォーム
nodejs
コンポーネント
node-forge
修正版
1.4.1
1.4.0
CVE-2026-33891は、node-forgeライブラリに存在するサービス拒否(DoS)の脆弱性です。BigInteger.modInverse()関数がゼロ値を入力として呼び出された場合、無限ループが発生し、CPUを過剰に消費します。この脆弱性は、node-forgeのすべてのバージョンに影響を与えます。バージョン1.4.0で修正されました。
node-forgeライブラリのBigInteger.modInverse()関数(バンドルされたjsbnライブラリから継承)における無限ループが原因で、サービス拒否(DoS)攻撃が発生する可能性があります。攻撃者は、modInverse()関数にゼロ値を入力することで、内部の拡張ユークリッドアルゴリズムが到達不能な終了条件に入り、プロセスが無限にハングアップし、CPU使用率が100%になる状況を引き起こすことができます。この攻撃は、node-forgeライブラリを使用しているアプリケーションの可用性に直接影響を与え、アプリケーションの応答を停止させます。特に、暗号処理や数学的計算を頻繁に行うアプリケーションでは、この脆弱性が悪用されると、サービス全体が停止する可能性があります。攻撃者は、悪意のある入力データを作成し、node-forgeライブラリを使用するアプリケーションに送信することで、DoS攻撃を実行できます。データやアクセスそのものが直接危険にさらされるわけではありませんが、アプリケーションの利用不能により、間接的にビジネスへの影響、顧客への不便、さらには機密情報の漏洩につながる可能性があります。影響範囲は、node-forgeライブラリを使用しているアプリケーションの規模と重要度によって大きく異なります。
現時点では、CVE-2026-33891に対する公開されている悪用事例やPoC(Proof of Concept)は報告されていません。しかし、DoS攻撃は比較的容易に実行可能であり、この脆弱性が悪用される可能性は否定できません。この脆弱性の深刻度は高い(CVSSスコア7.5)と評価されており、早急な対応が必要です。特に、node-forgeライブラリを公開サーバーで利用している場合は、攻撃対象領域が広がるため、迅速なパッチ適用が不可欠です。今後、悪用事例が報告される可能性も考慮し、継続的な監視とセキュリティ対策の強化が必要です。この脆弱性の修正を優先的に実施し、潜在的なリスクを軽減することを推奨します。
Applications built on Node.js that utilize the node-forge library for cryptographic operations are at risk. This includes web applications, APIs, and command-line tools. Specifically, projects that haven't been updated recently or those relying on older dependencies are particularly vulnerable.
• nodejs / server:
npm list node-forge # Check installed version• nodejs / server:
ps aux | grep forge # Check for processes using node-forge• nodejs / server:
journalctl -u node -f # Monitor Node.js logs for errors related to BigInteger or modInversedisclosure
エクスプロイト状況
EPSS
0.05% (16% パーセンタイル)
CISA SSVC
この脆弱性に対処するには、node-forgeライブラリをバージョン1.4.0以降にアップグレードすることを強く推奨します。バージョン1.4.0では、この脆弱性が修正されています。アップグレードが直ちに実行できない場合は、modInverse()関数を呼び出す前に、入力値がゼロでないことを確認する入力検証を追加することで、一時的な回避策を講じることができます。ただし、この回避策は完全な保護を提供するものではなく、アップグレードを優先的に行うべきです。アップグレード後、アプリケーションを再起動し、modInverse()関数を使用してゼロ値を入力した場合に、プロセスがハングアップしないことを確認するテストを実施してください。テストは、さまざまな入力値を使用して、脆弱性が完全に修正されていることを確認するために重要です。また、node-forgeライブラリの依存関係を定期的に確認し、最新のセキュリティパッチを適用することを推奨します。
Actualice la biblioteca node-forge a la versión 1.4.0 o superior. Esta versión corrige la vulnerabilidad de denegación de servicio causada por un bucle infinito en la función BigInteger.modInverse() al recibir un valor cero como entrada. La actualización evitará que el proceso se cuelgue y consuma el 100% de la CPU.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-33891は、node-forgeライブラリのBigInteger.modInverse()関数における無限ループが原因で発生するサービス拒否(DoS)の脆弱性です。
node-forgeライブラリのバージョン1.4.0より前のすべてのバージョンが影響を受けます。
node-forgeライブラリをバージョン1.4.0以降にアップグレードしてください。
現時点では、公開されている悪用事例やPoCは報告されていません。
NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-33891, ベンダーアドバイザリ: https://github.com/digitalbazaar/forge
CVSS ベクトル