Platform
nodejs
Component
jsrsasign
Opgelost in
11.1.1
11.1.1
CVE-2026-4599 is een kritieke kwetsbaarheid in de jsrsasign bibliotheek, waardoor aanvallers private keys kunnen herstellen. Deze kwetsbaarheid is te wijten aan onjuiste vergelijkingen in de functies getRandomBigIntegerZeroToMax en getRandomBigIntegerMinToMax, wat leidt tot beïnvloede DSA nonces tijdens het genereren van handtekeningen. De kwetsbaarheid treft versies van jsrsasign van 7.0.0 tot en met 11.1.0. Een upgrade naar versie 11.1.1 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2026-4599 kan leiden tot de compromittering van private keys die worden gebruikt voor digitale handtekeningen en encryptie. Dit kan gevolgen hebben voor de integriteit en vertrouwelijkheid van data die met behulp van deze keys wordt beschermd. De aanvallende kan de gecompromitteerde keys gebruiken om zich voor te doen als de eigenaar van de key, handtekeningen te vervalsen en gevoelige informatie te ontcijferen. De impact is vergelijkbaar met kwetsbaarheden die leiden tot het lekken van geheime sleutels, waardoor het vertrouwen in de beveiliging van het systeem ernstig wordt aangetast. De omvang van de impact hangt af van de gevoeligheid van de data die door de gecompromitteerde keys wordt beschermd.
CVE-2026-4599 is openbaar bekend en de kwetsbaarheid is kritiek geclassificeerd. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de beschrijving van de kwetsbaarheid maakt het relatief eenvoudig om een exploit te ontwikkelen. De kwetsbaarheid is gepubliceerd op 2026-03-23. Het is aannemelijk dat deze kwetsbaarheid in de toekomst actief zal worden geëxploiteerd, vooral in omgevingen waar jsrsasign wordt gebruikt voor kritieke beveiligingsfuncties.
Applications and services built on Node.js that utilize the jsrsasign library for digital signature generation, particularly those relying on DSA signatures, are at risk. This includes web applications, command-line tools, and backend services that process sensitive data requiring cryptographic protection. Projects using older versions of jsrsasign in production environments are particularly vulnerable.
• nodejs / server:
npm list jsrsasign
# Check version. If < 11.1.1, upgrade immediately.• generic web:
curl -I <your_application_url>
# Check for any unusual headers or responses related to signature generation.disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-4599 is het upgraden van jsrsasign naar versie 11.1.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen, zoals het beperken van de toegang tot de bibliotheek en het monitoren van de handtekeninggeneratieprocessen op verdachte activiteiten. Het is belangrijk om te controleren of de bibliotheek op geen enkele manier wordt gebruikt voor het genereren van handtekeningen die kritieke data beschermen. Na de upgrade, controleer de handtekeninggeneratieprocessen om te bevestigen dat de kwetsbaarheid is verholpen en dat de handtekeningen correct worden gegenereerd.
Werk de jsrsasign afhankelijkheid bij naar versie 11.1.1 of hoger. Dit corrigeert de onvolledige vergelijkingsvulnerabiliteit die de herstel van de private key mogelijk maakt. Voer `npm install jsrsasign@latest` of `yarn upgrade jsrsasign` uit om bij te werken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4599 is a critical vulnerability in jsrsasign versions 7.0.0 to 11.1.1 that allows an attacker to recover the private key used for DSA signatures due to flawed comparison logic.
If you are using jsrsasign version 7.0.0 or later, and less than 11.1.1, you are potentially affected. Immediately check your dependencies and upgrade.
Upgrade to jsrsasign version 11.1.1 or later to resolve this vulnerability. This is the recommended and most effective mitigation.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the jsrsasign project's official website and GitHub repository for updates and advisories related to CVE-2026-4599.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.