CVE-2026-33896: 証明書検証の脆弱性 in node-forge

forge の CVE-2026-33896 は、basicConstraints と keyUsage の両方の拡張機能を欠いているリーフ証明書が認証局 (CA) として機能することを許可します。pki.verifyCertificateChain() 関数は、中間証明書がこれらの拡張機能を欠いている場合、RFC 5280 の基本的な制約を適用しません。これにより、CA として設計されていないリーフ証明書であっても、他の証明書に署名でき、node-forge はそれらを有効として受け入れます。これにより、信頼チェーンの整合性が損なわれ、中間者攻撃や偽造証明書の作成が可能になる可能性があります。

Applications built on Node.js that rely on node-forge for certificate validation are at risk. This includes applications handling TLS connections, verifying digital signatures, or performing other certificate-based authentication. Specifically, applications that accept certificates from untrusted sources or have weak certificate validation policies are particularly vulnerable.

• nodejs:

Get-Process | Where-Object {$_.ProcessName -match 'node'}

• nodejs: Check for node-forge versions prior to 1.4.0 using npm list node-forge. • nodejs: Review application code for calls to pki.verifyCertificateChain() and assess the context of certificate validation. • generic web: Monitor server logs for errors related to certificate validation or unexpected certificate chains.

1. 2026-03-26Disclosure

   disclosure

1. 予約済み2026-03-24
2. 公開日2026-03-26
3. 更新日2026-03-31
4. EPSS 更新日2026-04-04

解決策は、forge をバージョン 1.4.0 以降にアップグレードすることです。このバージョンは、RFC 5280 の基本的な制約を適切に適用することで、この脆弱性を修正します。直ちにアップグレードできない場合は、アプリケーションで使用されているすべての証明書を注意深く確認し、中間証明書が basicConstraints と keyUsage の拡張機能を正しく構成されていることを確認してください。信頼する前に、アプリケーションに証明書の有効性を検証するための追加の検証を実装することを検討してください。