Platform
nodejs
Component
node-forge
Opgelost in
1.4.1
1.4.0
CVE-2026-33896 is een beveiligingslek in de pki.verifyCertificateChain() functie van node-forge. Het stelt een kwaadwillende in staat om een vervalst certificaat te creëren dat door node-forge als geldig wordt beschouwd, doordat de RFC 5280 basicConstraints niet correct worden afgedwongen. Dit kan leiden tot het onterecht vertrouwen in onbetrouwbare certificaten. De kwetsbaarheid treft versies lager dan 1.4.0. Een fix is beschikbaar in versie 1.4.0.
CVE-2026-33896 in forge maakt het mogelijk dat bladcertificaten die niet beide extensies basicConstraints en keyUsage hebben, fungeren als certificeringsinstanties (CA's). De functie pki.verifyCertificateChain() dwingt de basisbeperkingen volgens RFC 5280 niet af als een tussenliggend certificaat deze extensies niet heeft. Dit betekent dat een bladcertificaat, zelfs als het niet bedoeld is om een CA te zijn, andere certificaten kan ondertekenen, en node-forge deze als geldig accepteert. Dit compromitteert de integriteit van de vertrouwensketen en kan man-in-the-middle-aanvallen of de creatie van valse certificaten mogelijk maken.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een bladcertificaat te creëren zonder de extensies basicConstraints en keyUsage. De aanvaller kan vervolgens dit certificaat gebruiken om een kwaadaardig certificaat te ondertekenen dat lijkt op een legitiem certificaat. Als een applicatie node-forge gebruikt om certificaatketens te verifiëren en niet is bijgewerkt, accepteert deze het kwaadaardige certificaat als geldig, waardoor de aanvaller netwerkverkeer kan onderscheppen en wijzigen.
Applications built on Node.js that rely on node-forge for certificate validation are at risk. This includes applications handling TLS connections, verifying digital signatures, or performing other certificate-based authentication. Specifically, applications that accept certificates from untrusted sources or have weak certificate validation policies are particularly vulnerable.
• nodejs:
Get-Process | Where-Object {$_.ProcessName -match 'node'}• nodejs: Check for node-forge versions prior to 1.4.0 using npm list node-forge.
• nodejs: Review application code for calls to pki.verifyCertificateChain() and assess the context of certificate validation.
• generic web: Monitor server logs for errors related to certificate validation or unexpected certificate chains.
disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De oplossing is om te upgraden naar versie 1.4.0 of hoger van forge. Deze versie lost de kwetsbaarheid op door de basisbeperkingen volgens RFC 5280 correct af te dwingen. Als een onmiddellijke upgrade niet mogelijk is, controleer dan zorgvuldig alle certificaten die in uw applicatie worden gebruikt en zorg ervoor dat tussenliggende certificaten de extensies basicConstraints en keyUsage correct hebben geconfigureerd. Overweeg om extra validaties in uw applicatie te implementeren om de geldigheid van certificaten te verifiëren voordat u erop vertrouwt.
Werk de Forge bibliotheek bij naar versie 1.4.0 of hoger. Deze versie corrigeert de basicConstraints omissie kwetsbaarheid in de certificaatketen verificatie. De update zorgt ervoor dat aan de eisen van RFC 5280 wordt voldaan.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
RFC 5280 is een standaard die de vereisten definieert voor het valideren van X.509-certificaten, inclusief basisbeperkingen en sleutelgebruik.
Deze extensies geven aan of een certificaat bedoeld is om een CA of een bladcertificaat te zijn, en welke bewerkingen met de bijbehorende private sleutel kunnen worden uitgevoerd.
Controleer zorgvuldig alle certificaten die in uw applicatie worden gebruikt en zorg ervoor dat tussenliggende certificaten de extensies basicConstraints en keyUsage correct hebben geconfigureerd. Implementeer extra validaties in uw applicatie.
Ja, er zijn verschillende online en command-line tools waarmee u de extensies van een certificaat kunt controleren. Zoek naar 'X.509 certificate viewer' of 'openssl certificate info'.
Ja, elke applicatie die node-forge gebruikt om certificaatketens te verifiëren, is potentieel kwetsbaar als deze niet is bijgewerkt naar versie 1.4.0 of hoger.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.