Platform
nodejs
Component
node-forge
Opgelost in
1.4.1
1.4.0
CVE-2026-33894 is een kwetsbaarheid in node-forge waarbij RSASSA PKCS#1 v1.5 signature verificatie vervalste signatures accepteert voor low public exponent keys. Aanvallers kunnen signatures vervalsen door 'garbage' bytes toe te voegen binnen de ASN structuur. Dit maakt een Bleichenbacher-stijl vervalsing mogelijk. De impact is dat aanvallers signatures kunnen vervalsen. Deze kwetsbaarheid treft node-forge. De kwetsbaarheid is opgelost in versie 1.4.0.
CVE-2026-33894 in Forge stelt systemen bloot aan RSASSA PKCS#1 v1.5 signature forgery. De kwetsbaarheid ontstaat doordat de signature verificatie functie onvoldoende validatie uitvoert bij het gebruik van lage publieke exponenten (e=3). Een aanvaller kan kwaadaardige signatures creëren door 'garbage' bytes toe te voegen binnen de ASN structuur, waardoor een signature wordt geaccepteerd die eigenlijk ongeldig is. Dit maakt Bleichenbacher-stijl forgery mogelijk, waarbij de aanvaller in staat is om de authenticiteit van data te omzeilen. Het risico omvat de compromittering van data die beveiligd is met de kwetsbare signature verificatie functie. Denk hierbij aan authenticatie tokens, digitale handtekeningen op documenten of software updates. De impact kan aanzienlijk zijn, afhankelijk van de gevoeligheid van de data en de kritikaliteit van de systemen die afhankelijk zijn van deze signatures. Een succesvolle aanval kan leiden tot ongeautoriseerde toegang tot systemen, data manipulatie en potentieel tot het uitvoeren van kwaadaardige code. De blast radius is afhankelijk van de implementatie en het gebruik van de Forge bibliotheek; systemen die direct gebruik maken van de kwetsbare functie zijn het meest risico lopen.
Op dit moment zijn er geen publiekelijk beschikbare exploit rapporten (KEV) voor CVE-2026-33894. Dit betekent dat er geen bekende actieve uitbuiting in de wild is. Echter, de kwetsbaarheid is vergelijkbaar met CVE-2022-24771, wat aangeeft dat de mogelijkheid tot uitbuiting bestaat. Hoewel er geen publieke Proof-of-Concept (POC) code beschikbaar is, is het belangrijk om de kwetsbaarheid serieus te nemen en proactief maatregelen te treffen om de risico's te minimaliseren. De afwezigheid van publieke exploits betekent niet dat de kwetsbaarheid niet kan worden uitgebuit, vooral door geavanceerde aanvallers. De urgentie om te patchen is hoog, gezien de potentiële impact van een succesvolle aanval.
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33894 is het updaten naar Forge versie 1.4.0 of hoger. Deze versie bevat de benodigde correcties om de kwetsbaarheid te verhelpen. Indien een directe upgrade niet mogelijk is, is het sterk aanbevolen om de signature verificatie functionaliteit te vermijden en alternatieve, veiligere signature schema's te gebruiken. Als dit niet mogelijk is, kan het implementeren van strenge input validatie op de ASN structuur een tijdelijke workaround bieden, maar dit wordt niet als een volledige oplossing beschouwd. Zorg ervoor dat alle signaturen minimaal 8 bytes padding bevatten, zoals gespecificeerd in RFC2313. Na het updaten of implementeren van een workaround, is het essentieel om de signature verificatie processen grondig te testen om te verzekeren dat de correcties effectief zijn en geen onbedoelde gevolgen hebben. Het is cruciaal om de upgrade in een gecontroleerde omgeving te testen voordat deze in productie wordt geïmplementeerd.
Actualice la biblioteca Forge a la versión 1.4.0 o superior. Esta versión corrige la vulnerabilidad de falsificación de firmas RSA-PKCS. Para actualizar, utilice el gestor de paquetes npm: `npm install node-forge@latest`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33894 is a vulnerability in the Forge library that allows attackers to forge RSASSA PKCS#1 v1.5 signatures using low public exponent keys.
You are affected if you are using Forge versions prior to 1.4.0 and rely on RSASSA PKCS#1 v1.5 signatures with a public exponent of 3.
Upgrade to Forge version 1.4.0 or later to resolve this vulnerability.
Currently, there are no publicly known exploits for CVE-2026-33894, but the potential for exploitation exists.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-33894 for more information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.