Platform
nodejs
Component
jsrsasign
Opgelost in
11.1.1
11.1.1
CVE-2026-4601 beschrijft een Missing Cryptographic Step kwetsbaarheid in jsrsasign, een JavaScript RSA signing bibliotheek. Deze kwetsbaarheid stelt een aanvaller in staat om de private key te herstellen, wat kan leiden tot ongeautoriseerde toegang en manipulatie van data. De kwetsbaarheid treedt op in versies vóór 11.1.1 en kan worden verholpen door te upgraden naar de meest recente versie.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om de private key van de jsrsasign bibliotheek te extraheren. Dit kan worden gebruikt om digitale handtekeningen te vervalsen, gevoelige data te decoderen en mogelijk toegang te krijgen tot systemen die afhankelijk zijn van de private key voor authenticatie. De kwetsbaarheid is met name zorgwekkend in webapplicaties die jsrsasign gebruiken voor cryptografische operaties, omdat een aanvaller dan de integriteit van de applicatie kan compromitteren. Het herstel van de private key maakt een breed scala aan aanvallen mogelijk, vergelijkbaar met de impact van het compromitteren van een root-certificaat.
De kwetsbaarheid werd gepubliceerd op 23 maart 2026. Er is momenteel geen publieke Proof-of-Concept (POC) code beschikbaar, maar de beschrijving van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De EPSS score is momenteel niet bekend, maar gezien de ernst en de mogelijkheid om de private key te herstellen, wordt een medium tot hoge waarschijnlijkheid van exploitatie verwacht. Er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid.
Applications and services utilizing the jsrsasign library for DSA-based cryptographic operations are at risk. This includes Node.js applications, web servers, and any system relying on jsrsasign for secure communication or data protection. Specifically, applications that handle sensitive data like financial transactions or authentication tokens are at higher risk.
• nodejs:
npm list jsrsasignCheck the installed version. If it's less than 11.1.1, the system is vulnerable. • nodejs:
find / -name "jsrsasign*" -type d -printLocate jsrsasign directories to identify potential installation locations and versions.
• generic web:
Inspect application code for usage of KJUR.crypto.DSA.signWithMessageHash. Review input validation routines related to DSA signatures.
disclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-4601 is het upgraden van jsrsasign naar versie 11.1.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen, zoals het beperken van de toegang tot de jsrsasign bibliotheek en het monitoren van de applicatie op verdachte activiteiten. Controleer de configuratie van de applicatie om te verzekeren dat de DSA signing implementatie niet onnodig wordt gebruikt. Na de upgrade, verifieer de integriteit van de bibliotheek door de hashwaarde te vergelijken met de officiële waarde.
Actualice la dependencia jsrsasign a la versión 11.1.1 o superior. Esto corrige la vulnerabilidad de firma DSA que permite la recuperación de la clave privada. Ejecute `npm install jsrsasign@latest` o `yarn upgrade jsrsasign` para actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4601 is a HIGH severity vulnerability in jsrsasign versions before 11.1.1 that allows attackers to recover the private key used for DSA signing by manipulating signatures.
If you are using jsrsasign versions prior to 11.1.1, you are potentially affected by this vulnerability. Check your installed version immediately.
Upgrade to jsrsasign version 11.1.1 or later to resolve this vulnerability. If immediate upgrade is not possible, implement input validation on DSA signatures.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the jsrsasign project's official website and security advisories for the latest information and updates regarding CVE-2026-4601.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.