Platform
nodejs
Component
node-forge
Opgelost in
1.3.0
CVE-2022-24772 is een signature forgery kwetsbaarheid in node-forge. De RSA PKCS#1 v1.5 signature verificatie code controleert niet op trailing garbage bytes na het decoderen van een DigestInfo ASN.1 structuur. Dit kan leiden tot signature forgery. Deze kwetsbaarheid treft node-forge versies lager dan 1.3.0. De kwetsbaarheid is verholpen in versie 1.3.0.
CVE-2022-24772 treft de node-forge-bibliotheek, met name de RSA PKCS#1 v1.5-signatuurverificatiecode. De kwetsbaarheid ligt in het ontbreken van validatie van achterliggende garbage-bytes na het decoderen van een ASN.1 DigestInfo-structuur. Dit stelt een aanvaller in staat om padding-bytes te verwijderen en garbage-data toe te voegen om een handtekening te vervalsen wanneer een lage publieke exponent wordt gebruikt. Het risico is aanzienlijk voor applicaties die afhankelijk zijn van node-forge voor de veilige RSA PKCS#1 v1.5-signatuurverificatie, aangezien een aanvaller de dataintegrititeit en de authenticiteit van transacties kan compromitteren.
Het exploiteren van deze kwetsbaarheid vereist een diepgaand begrip van de ASN.1-structuur en de werking van RSA PKCS#1 v1.5-handtekeningen. Een aanvaller zou een RSA PKCS#1 v1.5-handtekening moeten onderscheppen of genereren, de padding wijzigen om kwaadaardige gegevens toe te voegen en vervolgens de gewijzigde handtekening voor verificatie aan te bieden. Het succes van de exploitatie hangt af van de specifieke implementatie van de handtekeningverificatie en de gebruikte publieke exponent. De complexiteit van de exploitatie vermindert niet de ernst van de kwetsbaarheid, aangezien een voldoende goed uitgeruste en bekwaame aanvaller deze zou kunnen benutten om getroffen systemen te compromitteren.
Exploit Status
EPSS
0.16% (37% percentiel)
CVSS-vector
De oplossing voor deze kwetsbaarheid is het updaten van de node-forge-bibliotheek naar versie 1.3.0 of hoger. Deze versie bevat correcties die achterliggende garbage-bytes na het ASN.1-decoderen correct valideren, waardoor het risico op signatuurvervalsing wordt verminderd. Alle node-forge-gebruikers wordt ten zeerste geadviseerd om deze update zo snel mogelijk toe te passen. Controleer bovendien de code die node-forge gebruikt om ervoor te zorgen dat de beste beveiligingspraktijken worden gevolgd en dat de blootstelling aan potentiële aanvallen wordt geminimaliseerd. De update moet prioriteit krijgen voor kritieke systemen.
Actualice a la versión 1.3.0 o superior de node-forge para corregir la vulnerabilidad. Esta actualización aborda la verificación incorrecta de la firma criptográfica al decodificar estructuras ASN.1, previniendo la falsificación de firmas en ciertos escenarios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
ASN.1 (Abstract Syntax Notation One) is een standaard voor het definiëren en weergeven van gestructureerde gegevens. Het wordt veel gebruikt in netwerkprotocollen en bestandsformaten.
PKCS#1 v1.5 is een standaard voor het formaat van RSA-berichten, inclusief handtekeningen en encryptie.
Versie 1.3.0 lost de kwetsbaarheid op door garbage-bytes te valideren, waardoor handtekeningvervalsing wordt voorkomen.
Als een onmiddellijke update niet mogelijk is, overweeg dan aanvullende maatregelen te nemen om de impact te beperken, zoals het valideren van de bron van handtekeningen en het gebruik van een grotere publieke exponent.
Het is belangrijk om op de hoogte te blijven van de nieuwste beveiligingsupdates voor node-forge en andere bibliotheken die uw applicatie gebruikt.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.