Plataforma
nodejs
Componente
node-forge
Corrigido em
1.4.1
1.4.0
CVE-2026-33891 descreve uma vulnerabilidade de negação de serviço (DoS) na biblioteca node-forge. A função BigInteger.modInverse() entra em um loop infinito quando chamada com um valor zero, consumindo 100% da CPU e travando o processo. Esta falha afeta todas as versões da biblioteca node-forge. A vulnerabilidade foi corrigida na versão 1.4.0.
A vulnerabilidade CVE-2026-33891 em node-forge permite um ataque de Negação de Serviço (DoS) que pode levar à indisponibilidade completa de aplicações que utilizam a biblioteca. Um atacante pode explorar esta falha enviando um valor zero como entrada para a função BigInteger.modInverse(). Isso aciona um loop infinito no algoritmo de Euclides Estendido, que faz parte da biblioteca jsbn embutida. O processo fica preso nesse loop, consumindo 100% da CPU e impedindo que a aplicação responda a outras requisições. O risco principal é a interrupção do serviço, o que pode resultar em perda de dados, indisponibilidade de funcionalidades críticas e impacto negativo na experiência do usuário. A amplitude do impacto depende da criticidade da aplicação que utiliza node-forge; aplicações web, servidores de API e qualquer sistema que processe dados criptográficos utilizando esta biblioteca estão em risco. Não há indicação de que dados sensíveis sejam diretamente acessados ou comprometidos, mas a indisponibilidade do sistema pode impedir o acesso a esses dados e dificultar a recuperação.
Atualmente, não há relatos públicos de exploração ativa (KEV) da vulnerabilidade CVE-2026-33891. Apesar da ausência de provas de exploração, a natureza da vulnerabilidade (DoS) e a facilidade de exploração (enviar um valor zero) indicam que ela pode ser explorada em um futuro próximo. A falta de um Proof of Concept (PoC) público não diminui a importância de aplicar a correção, pois a criação de um PoC é um processo relativamente simples. Dada a facilidade de exploração e o potencial impacto, a vulnerabilidade deve ser tratada com urgência e a correção deve ser aplicada o mais rápido possível. A ausência de exploração pública não significa que o risco seja inexistente, apenas que ainda não foi detectado.
Applications built on Node.js that utilize the node-forge library for cryptographic operations are at risk. This includes web applications, APIs, and command-line tools. Specifically, projects that haven't been updated recently or those relying on older dependencies are particularly vulnerable.
• nodejs / server:
npm list node-forge # Check installed version• nodejs / server:
ps aux | grep forge # Check for processes using node-forge• nodejs / server:
journalctl -u node -f # Monitor Node.js logs for errors related to BigInteger or modInversedisclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A correção para CVE-2026-33891 é a atualização para a versão 1.4.0 ou superior do pacote node-forge. Esta versão inclui uma correção que impede o loop infinito na função bnModInverse(). Se a atualização imediata não for possível, uma possível mitigação temporária é evitar o uso da função BigInteger.modInverse() com entradas zero. No entanto, essa abordagem pode não ser viável em todos os casos, pois a função pode ser utilizada em cenários onde a entrada zero é uma possibilidade legítima. Após a atualização, é crucial verificar se a nova versão está funcionando corretamente e se a vulnerabilidade foi efetivamente corrigida. Isso pode ser feito através de testes de regressão e monitoramento do uso da CPU para garantir que não haja consumo excessivo. A aplicação da correção deve ser priorizada, especialmente em ambientes de produção, para minimizar o risco de exploração.
Actualice la biblioteca node-forge a la versión 1.4.0 o superior. Esta versión corrige la vulnerabilidad de denegación de servicio causada por un bucle infinito en la función BigInteger.modInverse() al recibir un valor cero como entrada. La actualización evitará que el proceso se cuelgue y consuma el 100% de la CPU.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33891 is a denial-of-service vulnerability in the node-forge library where a crafted input to BigInteger.modInverse() causes an infinite loop, leading to 100% CPU usage.
Yes, all versions of node-forge prior to 1.4.0 are affected by this vulnerability. If you are using node-forge, you should upgrade immediately.
Upgrade to version 1.4.0 of the node-forge library using npm: npm install [email protected]. If upgrading is not possible, implement input validation to prevent zero values from being passed to BigInteger.modInverse().
While no active exploitation has been confirmed, the vulnerability is relatively easy to trigger, increasing the likelihood of exploitation.
Refer to the node-forge GitHub repository for updates and advisories: https://github.com/digitalbazaar/forge
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.