HIGHCVE-2026-4601CVSS 8.7

jsrsasign: DSA署名時の暗号学的検証の欠如により、秘密鍵の抽出が可能になる

プラットフォーム

nodejs

コンポーネント

jsrsasign

修正版

11.1.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4601は、jsrsasignライブラリのDSA署名実装における脆弱性です。この脆弱性を悪用されると、攻撃者は秘密鍵を復元することが可能となり、深刻なセキュリティリスクを引き起こします。影響を受けるバージョンはjsrsasign 11.1.1より前のすべてのバージョンです。開発者はバージョン11.1.1へのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がjsrsasignライブラリを使用するアプリケーションのDSA秘密鍵を復元することを可能にします。秘密鍵が漏洩すると、攻撃者は署名されたデータのなりすまし、機密データの盗難、さらにはアプリケーション全体の制御権の奪取といった攻撃を実行できる可能性があります。特に、デジタル署名や暗号化にjsrsasignを使用しているWebアプリケーションやNode.js環境において、重大な影響が想定されます。この脆弱性の悪用は、機密情報の漏洩やシステムの完全な侵害につながる可能性があります。

悪用の状況

CVE-2026-4601は、2026年3月23日に公開されました。現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、秘密鍵の復元という重大な影響を考慮すると、攻撃者による悪用が懸念されます。CISA KEVへの登録状況は不明です。この脆弱性の悪用は、機密情報の漏洩やシステムの完全な侵害につながる可能性があるため、早急な対応が必要です。

リスク対象者翻訳中…

Applications and services utilizing the jsrsasign library for DSA-based cryptographic operations are at risk. This includes Node.js applications, web servers, and any system relying on jsrsasign for secure communication or data protection. Specifically, applications that handle sensitive data like financial transactions or authentication tokens are at higher risk.

検出手順翻訳中…

• nodejs:

  npm list jsrsasign

Check the installed version. If it's less than 11.1.1, the system is vulnerable. • nodejs:

  find / -name "jsrsasign*" -type d -print

Locate jsrsasign directories to identify potential installation locations and versions. • generic web: Inspect application code for usage of KJUR.crypto.DSA.signWithMessageHash. Review input validation routines related to DSA signatures.

攻撃タイムライン

2026-03-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート3 件の脅威レポート

EPSS

0.01% (3% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントjsrsasign

ベンダーosv

影響範囲修正版

0 – 11.1.111.1.1

—11.1.1

弱点分類 (CWE)

CWE-325

タイムライン

予約済み2026-03-22
公開日2026-03-23
更新日2026-03-29
EPSS 更新日2026-03-30

緩和策と回避策

この脆弱性への最良の対応は、jsrsasignライブラリをバージョン11.1.1にアップデートすることです。アップデートがすぐに適用できない場合は、DSA署名を使用する機能を一時的に無効化するか、より安全な署名アルゴリズムへの移行を検討してください。また、WAF（Web Application Firewall）を導入し、異常な署名リクエストを検知・ブロックするルールを設定することも有効です。jsrsasignのバージョン確認は、npm list jsrsasignコマンドで確認できます。

修正方法

jsrsasignの依存関係をバージョン11.1.1以降にアップデートしてください。これにより、秘密鍵の復元を可能にするDSA署名の脆弱性が修正されます。`npm install jsrsasign@latest`または`yarn upgrade jsrsasign`を実行してアップデートしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4601 — DSA Private Key Recovery in jsrsasignとは何ですか？

CVE-2026-4601は、jsrsasignライブラリのDSA署名実装における脆弱性で、攻撃者が秘密鍵を復元できる可能性があります。

CVE-2026-4601 in jsrsasignで影響を受けますか？

jsrsasignのバージョンが11.1.1より前である場合、影響を受けます。

CVE-2026-4601 in jsrsasignを修正するにはどうすればよいですか？

jsrsasignライブラリをバージョン11.1.1にアップデートしてください。

CVE-2026-4601は積極的に悪用されていますか？

現時点では公開PoCは確認されていませんが、悪用される可能性はあります。

CVE-2026-4601のjsrsasign公式アドバイザリはどこで入手できますか？

jsrsasignの公式アドバイザリは、jsrsasignのGitHubリポジトリで確認できます。