Platform
nodejs
Component
jsrsasign
Opgelost in
11.1.1
11.1.1
CVE-2026-4602 beschrijft een Incorrect Conversion tussen Numerieke Types kwetsbaarheid in de jsrsasign bibliotheek. Deze kwetsbaarheid stelt aanvallers in staat om signature verificatie te omzeilen door incorrecte modulaire inversies te forceren. De kwetsbaarheid treft versies van jsrsasign vóór 11.1.1. Een patch is beschikbaar in versie 11.1.1.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om signature verificatie te omzeilen. Door negatieve exponenten in de ext/jsbn2.js module te manipuleren, kan de aanvaller de berekening van incorrecte modulaire inversies forceren. Dit kan leiden tot het accepteren van ongeldige signatures als geldig, waardoor de integriteit van de data en de authenticiteit van de bron in gevaar komen. De impact is significant, aangezien het de basis van cryptografische operaties ondermijnt. Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot systemen en data, en het compromitteren van de vertrouwelijkheid en integriteit van de applicatie.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-23. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat wijst op een potentieel risico, maar er is geen bevestigde exploitatie.
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-4602 is het upgraden van jsrsasign naar versie 11.1.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van input validatie op de exponenten die aan de modPow functie worden doorgegeven om negatieve waarden te voorkomen. Het monitoren van logbestanden op ongebruikelijke signature verificatie pogingen kan ook helpen bij het detecteren van pogingen tot exploitatie. Na de upgrade, verifieer de correcte werking van de signature verificatie door middel van geautomatiseerde tests.
Actualice la versión del paquete jsrsasign a la versión 11.1.1 o superior. Esto corregirá la vulnerabilidad relacionada con el manejo incorrecto de exponentes negativos en la función modPow, evitando posibles ataques de verificación de firmas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
It's a vulnerability in jsrsasign versions before 11.1.1 that allows incorrect numeric type conversions, enabling signature forgery.
If you are using jsrsasign versions earlier than 11.1.1, you are potentially vulnerable. Check your project dependencies.
Upgrade to jsrsasign version 11.1.1 or later to resolve this vulnerability. If upgrading is not possible, implement input validation.
Currently, there are no known public exploits or active campaigns targeting CVE-2026-4602.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-4602 for detailed information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.