CVE-2026-4602は、jsrsasignライブラリのバージョン11.1.1未満に存在する数値型変換の誤りです。この脆弱性を悪用されると、攻撃者は署名検証を回避し、機密情報の漏洩や改ざんにつながる可能性があります。影響を受けるバージョンは、jsrsasign 11.1.1より前のすべてのバージョンです。開発者はバージョン11.1.1へのアップデートを推奨します。
この脆弱性は、jsrsasignライブラリを使用するNode.jsアプリケーションにおいて、署名検証のバイパスを可能にします。攻撃者は、不正な剰余逆数を計算させるために、modPow関数に負の指数を指定できます。これにより、悪意のあるコードが正当な署名として受け入れられる可能性があり、アプリケーションのセキュリティが損なわれる可能性があります。特に、デジタル署名や暗号化処理にjsrsasignを使用しているアプリケーションは、深刻な影響を受ける可能性があります。この脆弱性は、類似の数値計算ライブラリにおける脆弱性と同様に、サプライチェーン攻撃の起点となる可能性も考慮する必要があります。
CVE-2026-4602は、2026年3月23日に公開されました。現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。この脆弱性は、jsrsasignライブラリを使用するNode.jsアプリケーションに影響を与えるため、注意が必要です。
エクスプロイト状況
EPSS
0.05% (16% パーセンタイル)
CISA SSVC
この脆弱性への最善の対応は、jsrsasignライブラリをバージョン11.1.1にアップデートすることです。アップデートがすぐに適用できない場合は、入力値の検証を強化し、負の指数がmodPow関数に渡されないように制限するなどの回避策を講じる必要があります。また、WAF(Web Application Firewall)やIPS(Intrusion Prevention System)などのセキュリティ対策を導入し、不正なリクエストを検知・遮断することも有効です。アップデート後、署名検証機能が正常に動作することを確認してください。
Actualice la versión del paquete jsrsasign a la versión 11.1.1 o superior. Esto corregirá la vulnerabilidad relacionada con el manejo incorrecto de exponentes negativos en la función modPow, evitando posibles ataques de verificación de firmas.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-4602は、jsrsasignライブラリのバージョン11.1.1未満に存在する、ext/jsbn2.jsにおける負の指数の数値型変換の誤りです。攻撃者はこの脆弱性を悪用して署名検証を回避できます。
jsrsasignライブラリのバージョン11.1.1より前のバージョンを使用している場合は、影響を受けます。バージョン11.1.1にアップデートすることを推奨します。
jsrsasignライブラリをバージョン11.1.1にアップデートしてください。アップデートがすぐに適用できない場合は、入力値の検証を強化するなどの回避策を講じてください。
現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、悪用される可能性は否定できません。
jsrsasignの公式アドバイザリは、jsrsasignプロジェクトのウェブサイトまたは関連するセキュリティ情報サイトで確認できます。
CVSS ベクトル