Forge tem falsificação de assinatura em Ed25519 devido à falta de verificação S > L

Forge (também chamado `node-forge`) é uma implementação nativa de Transport Layer Security em JavaScript. Anterior à versão 1.4.0, a verificação de assinatura Ed25519 aceita assinaturas não canônicas forjadas onde o escalar S não é reduzido módulo a ordem do grupo (`S >= L`). Uma assinatura válida e sua variante `S + L` ambas verificam em forge, enquanto o `crypto.verify` do Node.js (com suporte OpenSSL) rejeita a variante `S + L`, conforme definido pela especificação. Esta classe de maleabilidade de assinatura foi explorada na prática para ignorar a lógica de autenticação e autorização (ver CVE-2026-25793, CVE-2022-35961). Aplicações que dependem da singularidade da assinatura (ou seja, dedup por bytes de assinatura, rastreamento de reprodução, verificações de canonicalização de objetos assinados) podem ser ignoradas. A versão 1.4.0 corrige o problema.