CRITICALCVE-2026-4599CVSS 9.1

jsrsasign: 不完全な比較により、DSA秘密鍵がバイアスのかかったnonce生成を介して復元される

プラットフォーム

nodejs

コンポーネント

jsrsasign

修正版

11.1.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4599は、jsrsasignライブラリの7.0.0から11.1.1までのバージョンに存在する、秘密鍵の復元を可能にする重大な脆弱性です。この脆弱性は、getRandomBigIntegerZeroToMaxおよびgetRandomBigIntegerMinToMax関数における不完全な比較チェックに起因します。攻撃者はこの脆弱性を悪用することで、DSA署名生成プロセスを操作し、秘密鍵を抽出できる可能性があります。バージョン11.1.1へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がjsrsasignライブラリを使用するアプリケーションの秘密鍵を復元することを可能にします。秘密鍵が漏洩した場合、攻撃者はその鍵を使用して、アプリケーションが保護するデータへの不正アクセス、改ざん、またはなりすまし攻撃を実行する可能性があります。特に、デジタル署名、暗号化通信、認証などのセキュリティ機能に依存するアプリケーションは、深刻な影響を受ける可能性があります。この脆弱性の悪用は、機密情報の漏洩、システムの完全性の侵害、およびサービス拒否につながる可能性があります。攻撃者は、この脆弱性を利用して、機密データを盗み出し、不正なトランザクションを実行し、システムを完全に制御する可能性があります。

悪用の状況

CVE-2026-4599は、2026年3月23日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、秘密鍵の復元を可能にする重大な脆弱性であるため、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。この脆弱性は、Node.js環境でjsrsasignライブラリを使用するアプリケーションに影響を与えます。

リスク対象者翻訳中…

Applications and services built on Node.js that utilize the jsrsasign library for digital signature generation, particularly those relying on DSA signatures, are at risk. This includes web applications, command-line tools, and backend services that process sensitive data requiring cryptographic protection. Projects using older versions of jsrsasign in production environments are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list jsrsasign
  # Check version.  If < 11.1.1, upgrade immediately.

• generic web:

  curl -I <your_application_url>
  # Check for any unusual headers or responses related to signature generation.

攻撃タイムライン

2026-03-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート4 件の脅威レポート

EPSS

0.04% (11% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントjsrsasign

ベンダーosv

影響範囲修正版

7.0.0 – 11.1.111.1.1

7.0.011.1.1

弱点分類 (CWE)

CWE-1023

タイムライン

予約済み2026-03-22
公開日2026-03-23
更新日2026-03-30
EPSS 更新日2026-03-30

緩和策と回避策

この脆弱性への対応策として、jsrsasignライブラリをバージョン11.1.1以降にアップデートすることを強く推奨します。アップデートできない場合は、影響を受けるアプリケーションの入力を厳密に検証し、不正なデータが処理されないようにする必要があります。また、WAF（Web Application Firewall）を導入し、悪意のあるリクエストをブロックすることも有効です。jsrsasignを使用するアプリケーションのセキュリティ設定を見直し、最小限の権限で実行するように構成することも重要です。さらに、DSA署名を使用する代わりに、より安全な署名アルゴリズムを使用することを検討してください。

修正方法翻訳中…

Actualice la dependencia jsrsasign a la versión 11.1.1 o superior. Esto corrige la vulnerabilidad de comparación incompleta que podría permitir la recuperación de la clave privada. Ejecute `npm install jsrsasign@latest` o `yarn upgrade jsrsasign` para actualizar.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4599 — 秘密鍵復元脆弱性 jsrsasignとは何ですか？

CVE-2026-4599は、jsrsasignライブラリの7.0.0～11.1.1のバージョンに存在する、秘密鍵の復元を可能にする脆弱性です。不完全な比較チェックにより、攻撃者はDSA署名生成中のnonceをバイアスさせ、秘密鍵を抽出できます。

CVE-2026-4599 — jsrsasignで影響を受けますか？

Node.js環境でjsrsasignライブラリのバージョン7.0.0から11.1.1を使用している場合、影響を受けます。バージョン11.1.1以降にアップデートするか、適切な緩和策を講じる必要があります。

CVE-2026-4599 — jsrsasignを修正するにはどうすればよいですか？

jsrsasignライブラリをバージョン11.1.1以降にアップデートしてください。npmを使用してアップデートする場合は、npm install jsrsasign@latestを実行してください。

CVE-2026-4599は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、秘密鍵の復元を可能にする重大な脆弱性であるため、攻撃者による悪用が懸念されます。

CVE-2026-4599のjsrsasign公式アドバイザリはどこで入手できますか？

jsrsasignの公式アドバイザリは、プロジェクトのGitHubリポジトリまたは関連するセキュリティ情報サイトで確認できます。詳細については、jsrsasignのドキュメントを参照してください。