Plataforma
nodejs
Componente
node-forge
Corrigido em
1.3.0
CVE-2022-24772 descreve uma vulnerabilidade no código de verificação de assinatura RSA PKCS#1 v1.5 do node-forge, onde não verifica bytes de lixo à direita após decodificar uma estrutura ASN.1 DigestInfo. Isso possibilita a remoção de bytes de preenchimento e a adição de dados inválidos para forjar uma assinatura, especialmente quando um expoente público baixo está em uso. A exploração bem-sucedida pode levar à falsificação de assinaturas digitais. A vulnerabilidade afeta versões do node-forge anteriores à 1.3.0. A correção foi implementada na versão 1.3.0.
A CVE-2022-24772 afeta a biblioteca node-forge, especificamente o código de verificação de assinatura RSA PKCS#1 v1.5. A vulnerabilidade reside na falta de validação de bytes de lixo após a decodificação de uma estrutura ASN.1 DigestInfo. Isso permite que um atacante remova bytes de preenchimento e adicione dados de lixo para forjar uma assinatura quando um expoente público baixo está sendo usado. O risco é significativo para aplicações que dependem de node-forge para a verificação segura de assinaturas RSA PKCS#1 v1.5, pois um atacante pode comprometer a integridade dos dados e a autenticidade das transações.
A exploração desta vulnerabilidade requer um profundo conhecimento da estrutura ASN.1 e do funcionamento das assinaturas RSA PKCS#1 v1.5. Um atacante precisaria interceptar ou gerar uma assinatura RSA PKCS#1 v1.5, modificar o preenchimento para incluir dados maliciosos e, em seguida, apresentar a assinatura modificada para verificação. O sucesso da exploração depende da implementação específica da verificação de assinatura e do expoente público usado. A complexidade da exploração não diminui a gravidade da vulnerabilidade, pois um atacante com recursos e habilidades suficientes poderia explorá-la para comprometer os sistemas afetados.
Status do Exploit
EPSS
0.16% (percentil 37%)
Vetor CVSS
A correção para esta vulnerabilidade é atualizar a biblioteca node-forge para a versão 1.3.0 ou superior. Esta versão inclui correções que validam corretamente os bytes de lixo após a decodificação ASN.1, mitigando o risco de falsificação de assinatura. Todos os usuários de node-forge são fortemente aconselhados a aplicar esta atualização o mais rápido possível. Além disso, revise o código que utiliza node-forge para garantir que as melhores práticas de segurança sejam seguidas e que a exposição a potenciais ataques seja minimizada. A atualização deve ser priorizada para sistemas críticos.
Actualice a la versión 1.3.0 o superior de node-forge para corregir la vulnerabilidad. Esta actualización aborda la verificación incorrecta de la firma criptográfica al decodificar estructuras ASN.1, previniendo la falsificación de firmas en ciertos escenarios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
ASN.1 (Abstract Syntax Notation One) é um padrão para definir e representar dados estruturados. É amplamente utilizado em protocolos de rede e formatos de arquivo.
PKCS#1 v1.5 é um padrão para o formato de mensagens RSA, incluindo assinaturas e criptografia.
A versão 1.3.0 corrige a vulnerabilidade validando os bytes de lixo, prevenindo a falsificação de assinaturas.
Se a atualização imediata não for possível, considere implementar medidas de mitigação adicionais, como validar a origem das assinaturas e usar um expoente público maior.
É importante manter-se atualizado com as últimas atualizações de segurança de node-forge e outras bibliotecas que seu aplicativo usa.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.