Platform
nodejs
Component
jsrsasign
Opgelost in
11.1.1
11.1.1
CVE-2026-4603 beschrijft een kwetsbaarheid van het type deling door nul in de jsrsasign bibliotheek, een populaire JavaScript bibliotheek voor cryptografische functies. Deze kwetsbaarheid kan leiden tot onvoorspelbaar gedrag en mogelijk misbruik van RSA public-key operaties. De kwetsbaarheid treedt op in versies van jsrsasign vóór 11.1.1 en is verholpen in deze versie. Een upgrade naar de nieuwste versie wordt sterk aanbevolen.
Een succesvolle exploitatie van CVE-2026-4603 kan een aanvaller in staat stellen om RSA public-key operaties (zoals verificatie en encryptie) te manipuleren. Door een JWK (JSON Web Key) te leveren waarvan de modulus decodeert naar nul, kan de aanvaller RSA-operaties forceren om deterministisch naar nul te gaan. Dit kan leiden tot het verbergen van foutmeldingen zoals “invalid key” en mogelijk tot het omzeilen van authenticatie- of encryptiecontroles. De impact is afhankelijk van hoe jsrsasign wordt gebruikt in de applicatie; een kwetsbare applicatie kan data-integriteit en vertrouwelijkheid in gevaar brengen.
Op het moment van publicatie (2026-03-23) is er geen melding van actieve exploitatie van CVE-2026-4603. Er zijn ook geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat duidt op een potentieel risico, maar er is geen bewijs van daadwerkelijke uitbuiting. De complexiteit van het creëren van een kwaadaardige JWK kan de exploitatie bemoeilijken.
Applications and services utilizing jsrsasign for RSA key operations, particularly those handling JSON Web Keys (JWKs) from untrusted sources, are at risk. This includes Node.js applications relying on jsrsasign for signing, encryption, or verification. Shared hosting environments where multiple applications share the same jsrsasign installation are also vulnerable.
• nodejs:
npm list jsrsasignThis command will list installed jsrsasign versions. Check if the version is less than 11.1.1. • nodejs:
find / -name "ext/rsa.js" -o -name "ext/jsbn.js" -printLocate these files to confirm their presence and potentially examine their contents for the vulnerable code. • generic web: Review application logs for any instances of RSA operations returning zero values, especially when handling JWK inputs. Look for error messages related to invalid keys or modulus values.
disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-4603 is het upgraden van de jsrsasign bibliotheek naar versie 11.1.1 of hoger. Als een directe upgrade niet mogelijk is vanwege compatibiliteitsproblemen, overweeg dan het implementeren van inputvalidatie op de JWK-modulus om te voorkomen dat nulwaarden worden verwerkt. Hoewel er geen specifieke WAF-regels of detectiesignaturen zijn, kan het monitoren van RSA-gerelateerde logberichten op ongebruikelijke nulwaarden helpen bij het detecteren van potentiële exploits. Na de upgrade, bevestig de correcte werking van de RSA-operaties door testencryptie en -verificatie uit te voeren.
Werk de jsrsasign afhankelijkheid bij naar versie 11.1.1 of hoger. Dit corrigeert de delen door nul kwetsbaarheid. Voer `npm install jsrsasign@latest` of `yarn upgrade jsrsasign` uit om bij te werken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4603 describes a division by zero vulnerability in jsrsasign versions before 11.1.1, affecting RSA public-key operations due to flawed parsing and calculations, potentially masking errors.
You are affected if you are using jsrsasign versions earlier than 11.1.1 in your Node.js applications and handling JWKs.
Upgrade jsrsasign to version 11.1.1 or later. As a temporary workaround, implement input validation to prevent zero-valued moduli from being processed.
There is currently no evidence of active exploitation of CVE-2026-4603, but the vulnerability's nature makes it potentially exploitable.
Refer to the jsrsasign project's official release notes and security advisories on their GitHub repository for the most up-to-date information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.