Platform
nodejs
Component
node-forge
Opgelost in
1.4.1
1.4.0
CVE-2026-33895 is een kwetsbaarheid in node-forge waarbij Ed25519-handtekeningen vervalst kunnen worden door niet-canonieke handtekeningen te accepteren. Dit kan leiden tot het omzeilen van authenticatie- en autorisatielogica. De kwetsbaarheid treft versies vóór 1.4.0 van node-forge. Een update naar versie 1.4.0 verhelpt dit probleem.
CVE-2026-33895 in de 'forge'-bibliotheek maakt het mogelijk om vervalste, niet-canonieke Ed25519-handtekeningen te verifiëren. Specifiek accepteert de bibliotheek handtekeningen waarbij de scalar 'S' niet modulo de groepsorde wordt gereduceerd (S >= L). Dit betekent dat een geldige handtekening en zijn 'S + L'-variant beide als geldig worden geaccepteerd, wat in strijd is met de RFC8032-specificaties. Deze handtekening-veranderlijkheid kwetsbaarheid is al uitgebuit om authenticatie- en autorisatiemechanismen te omzeilen. De CVSS-severity is 7.5, wat een significant risico aangeeft. Versies vóór 1.4.0 van de 'forge'-bibliotheek zijn getroffen.
Deze kwetsbaarheid wordt uitgebuit door Ed25519-handtekening-veranderlijkheid te benutten. Een aanvaller kan een niet-canonieke handtekening (S + L) genereren die als geldig wordt geaccepteerd door de kwetsbare 'forge'-bibliotheek, maar wordt afgewezen door conforme implementaties (zoals Node.js crypto.verify met OpenSSL). Dit stelt de aanvaller in staat om de identiteit van een gebruiker of systeem te vervalsen, toegangscontroles te omzeilen en de systeembeveiliging in gevaar te brengen. De eenvoud van het genereren van deze veranderlijke handtekeningen maakt exploitatie relatief eenvoudig.
Applications and services relying on node-forge for Ed25519 signature verification are at risk. This includes Node.js applications using node-forge directly or indirectly through dependencies. Specifically, systems with older, unpatched versions of node-forge are vulnerable, and those relying on node-forge for critical authentication or authorization processes face the highest risk.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -match 'node'}• nodejs / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=4688 -ProviderName 'Microsoft-Windows-Sysmon/Operational' -MessageText '*node-forge*'"• generic web:
curl -I https://your-application.com/api/verify-signature | grep 'Signature:'disclosure
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om de 'forge'-bibliotheek te upgraden naar versie 1.4.0 of hoger. Deze versie corrigeert de kwetsbaarheid door een correcte verificatie van de scalar 'S' te implementeren om ervoor te zorgen dat deze correct modulo de groepsorde wordt gereduceerd. Als een upgrade niet onmiddellijk mogelijk is, beoordeel en versterk dan authenticatie- en autorisatiemechanismen die afhankelijk zijn van Ed25519-handtekeningen die door de 'forge'-bibliotheek worden gegenereerd of geverifieerd. Het is cruciaal om de impact van deze kwetsbaarheid op getroffen systemen te beoordelen en de upgrade of mitigatie dienovereenkomstig te prioriteren. Het monitoren van beveiligingslogs kan helpen om exploitatiepogingen te detecteren.
Actualice la biblioteca Forge a la versión 1.4.0 o superior. Esto corrige la vulnerabilidad de falsificación de firmas Ed25519 al agregar la verificación faltante S > L.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Handtekening-veranderlijkheid is een eigenschap van bepaalde digitale handtekeningalgoritmen waarbij een geldige handtekening kan worden gewijzigd om een andere bericht voor te stellen zonder de handtekening ongeldig te maken. In dit geval creëert het toevoegen van 'L' aan 'S' een handtekening die nog steeds wordt geaccepteerd door de kwetsbare bibliotheek.
Node.js crypto.verify gebruikt OpenSSL, dat Ed25519-handtekeningverificatie implementeert volgens RFC8032 en niet-canonieke handtekeningen afwijst.
Als een onmiddellijke upgrade niet mogelijk is, beoordeel en versterk dan uw authenticatie- en autorisatiemechanismen. Overweeg om extra maatregelen te nemen, zoals het verifiëren van de vingerafdruk van het certificaat, om het risico te beperken.
Controleer de versie van de 'forge'-bibliotheek die u gebruikt. Als deze vóór versie 1.4.0 ligt, is uw systeem kwetsbaar. Het monitoren van beveiligingslogs op verdachte handtekeningpatronen kan ook helpen.
Hoewel deze kwetsbaarheid zich richt op de 'forge'-bibliotheek, is het belangrijk om andere bibliotheken die Ed25519 gebruiken te controleren om ervoor te zorgen dat ze handtekeningverificatie veilig implementeren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.