HIGHCVE-2026-4600CVSS 7.4

jsrsasign: KJUR.crypto.DSA.setPublicにおけるDSAドメインパラメータ検証を介したDSA署名またはX.509証明書の偽造が可能

プラットフォーム

nodejs

コンポーネント

jsrsasign

修正版

11.1.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4600は、jsrsasignライブラリのDSA署名検証機能における脆弱性です。この脆弱性により、攻撃者は不正なドメインパラメータを悪用し、DSA署名やX.509証明書を偽造することが可能です。影響を受けるバージョンは11.1.1未満です。開発者はバージョン11.1.1へのアップデートを推奨します。

影響と攻撃シナリオ

この脆弱性は、攻撃者がjsrsasignを使用するアプリケーションにおいて、信頼されたDSA署名やX.509証明書を偽造することを可能にします。これにより、攻撃者はなりすまし、機密情報を盗み出し、悪意のあるコードを実行する可能性があります。特に、デジタル署名、認証、暗号化にjsrsasignを使用しているアプリケーションは深刻な影響を受ける可能性があります。類似の脆弱性は、署名検証ロジックの不備から発生する可能性があります。

悪用の状況

CVE-2026-4600は、2026年3月23日に公開されました。現時点では、パブリックなPoCは確認されていませんが、この脆弱性の悪用可能性は高いと考えられます。CISA KEVへの登録状況は不明です。jsrsasignはNode.js環境で広く使用されているため、この脆弱性が悪用されるリスクは高い可能性があります。

リスク対象者翻訳中…

Applications and services built on Node.js that utilize the jsrsasign library for cryptographic operations, particularly those involved in authentication, data signing, or secure communication, are at risk. Projects relying on older versions of jsrsasign, especially those with limited security review processes, are particularly vulnerable.

検出手順翻訳中…

• nodejs:

Get-Process | Where-Object {$_.ProcessName -like '*node*'}

• nodejs:

Get-WinEvent -LogName Application -Filter "EventID=4624" -MaxEvents 10 | Select-String -Pattern "jsrsasign"

• generic web: Inspect network traffic for requests containing manipulated DSA signatures or X.509 certificates. Look for unusual domain parameters in the signature data.

攻撃タイムライン

2026-03-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントjsrsasign

ベンダーosv

影響範囲修正版

0 – 11.1.111.1.1

—11.1.1

弱点分類 (CWE)

CWE-347

タイムライン

予約済み2026-03-22
公開日2026-03-23
更新日2026-03-30
EPSS 更新日2026-03-30

緩和策と回避策

この脆弱性への主な対策は、jsrsasignライブラリをバージョン11.1.1以降にアップデートすることです。アップデートできない場合は、入力されたドメインパラメータの検証を強化し、不正なパラメータが使用されないようにする必要があります。WAFやプロキシサーバーを使用して、悪意のある署名をブロックすることも有効です。また、署名検証ロジックのレビューを行い、潜在的な脆弱性を特定することも重要です。

修正方法翻訳中…

Actualice la dependencia jsrsasign a la versión 11.1.1 o superior. Esto corrige la vulnerabilidad de verificación incorrecta de la firma criptográfica. Ejecute `npm install jsrsasign@latest` o `yarn upgrade jsrsasign` para actualizar.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4600 — DSA署名偽造 in jsrsasignとは何ですか？

CVE-2026-4600は、jsrsasignライブラリのDSA署名検証機能における脆弱性で、不正なドメインパラメータを悪用して署名を偽造できる可能性があります。

CVE-2026-4600 in jsrsasignに影響を受けますか？

jsrsasignのバージョンが11.1.1未満を使用している場合、この脆弱性に影響を受ける可能性があります。

CVE-2026-4600 in jsrsasignを修正するにはどうすればよいですか？

jsrsasignライブラリをバージョン11.1.1以降にアップデートしてください。

CVE-2026-4600は積極的に悪用されていますか？

現時点ではパブリックなPoCは確認されていませんが、悪用されるリスクは高いと考えられます。

CVE-2026-4600に関するjsrsasignの公式アドバイザリはどこで入手できますか？

jsrsasignの公式アドバイザリは、プロジェクトのウェブサイトまたは関連するセキュリティデータベースで確認してください。