MEDIUMCVE-2026-4603CVSS 5.9

jsrsasign: ゼロ除算により、無効な JWK 法が RSA 演算で決定論的なゼロ出力の原因となる

プラットフォーム

nodejs

コンポーネント

jsrsasign

修正版

11.1.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4603は、jsrsasignライブラリのバージョン11.1.1未満に存在するゼロ除算の脆弱性です。この脆弱性を悪用されると、攻撃者はRSA公開鍵操作を意図的にゼロ出力に誘導し、鍵の無効性に関するエラーを隠蔽することが可能になります。影響を受けるバージョンは11.1.1より前のすべてのバージョンであり、jsrsasignライブラリを利用するNode.jsアプリケーションに影響を及ぼします。現在、バージョン11.1.1へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がRSA公開鍵操作を制御できるため、深刻な影響をもたらす可能性があります。具体的には、攻撃者はデジタル署名の検証を回避したり、暗号化されたデータを不正に復号化したりすることが可能になります。これにより、機密情報の漏洩や改ざん、なりすまし攻撃などのリスクが高まります。特に、jsrsasignライブラリを認証や暗号化の基盤として利用しているアプリケーションは、この脆弱性の影響を受けやすいと考えられます。攻撃者は、悪意のあるJWKを送信することで、RSA演算をゼロに強制し、鍵の検証を迂回する可能性があります。

悪用の状況

CVE-2026-4603は、2026年3月23日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。この脆弱性は、jsrsasignライブラリを利用するNode.jsアプリケーションに影響を及ぼし、攻撃者による不正なRSA演算の実行を許してしまう可能性があります。

リスク対象者翻訳中…

Applications and services utilizing jsrsasign for RSA key operations, particularly those handling JSON Web Keys (JWKs) from untrusted sources, are at risk. This includes Node.js applications relying on jsrsasign for signing, encryption, or verification. Shared hosting environments where multiple applications share the same jsrsasign installation are also vulnerable.

検出手順翻訳中…

• nodejs:

  npm list jsrsasign

This command will list installed jsrsasign versions. Check if the version is less than 11.1.1. • nodejs:

  find / -name "ext/rsa.js" -o -name "ext/jsbn.js" -print

Locate these files to confirm their presence and potentially examine their contents for the vulnerable code. • generic web: Review application logs for any instances of RSA operations returning zero values, especially when handling JWK inputs. Look for error messages related to invalid keys or modulus values.

攻撃タイムライン

2026-03-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントjsrsasign

ベンダーosv

影響範囲修正版

0 – 11.1.111.1.1

—11.1.1

弱点分類 (CWE)

CWE-369

タイムライン

予約済み2026-03-22
公開日2026-03-23
更新日2026-03-30
EPSS 更新日2026-03-30

緩和策と回避策

この脆弱性への主な対策は、jsrsasignライブラリをバージョン11.1.1以降にアップデートすることです。アップデートが困難な場合は、入力データの検証を強化し、不正なJWKが処理されないようにする必要があります。具体的には、JWKのモジュラスがゼロにデコードされないようにチェックするロジックを追加することが考えられます。また、WAF（Web Application Firewall）を導入し、悪意のあるリクエストを検知・遮断することも有効な対策となります。アップデート後、jsrsasignのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法

jsrsasign 依存関係をバージョン 11.1.1 以降にアップデートしてください。これにより、ゼロ除算の脆弱性が修正されます。`npm install jsrsasign@latest` または `yarn upgrade jsrsasign` を実行してアップデートしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4603 — Division by Zero in jsrsasignとは何ですか？

CVE-2026-4603は、jsrsasignライブラリのバージョン11.1.1未満に存在するゼロ除算の脆弱性です。攻撃者は、この脆弱性を悪用してRSA公開鍵操作を制御し、鍵の検証を迂回する可能性があります。

CVE-2026-4603 in jsrsasignに影響を受けますか？

jsrsasignライブラリのバージョン11.1.1より前のバージョンを使用している場合は、影響を受けます。バージョン11.1.1以降にアップデートすることで、この脆弱性を解消できます。

CVE-2026-4603 in jsrsasignを修正するにはどうすればよいですか？

jsrsasignライブラリをバージョン11.1.1以降にアップデートしてください。アップデートが困難な場合は、入力データの検証を強化し、不正なJWKが処理されないようにする必要があります。

CVE-2026-4603は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、悪用される可能性は否定できません。

CVE-2026-4603に関するjsrsasignの公式アドバイザリはどこで入手できますか？

jsrsasignの公式アドバイザリは、jsrsasignのGitHubリポジトリで確認できます。