Plataforma
nodejs
Componente
node-forge
Corrigido em
1.4.1
1.4.0
CVE-2026-33894 é uma vulnerabilidade de segurança que permite o forjamento de assinaturas RSASSA PKCS#1 v1.5 em chaves com expoente público baixo (e=3) no componente node-forge. Um atacante pode criar assinaturas falsas, burlando a verificação e potencialmente se passando por outra entidade. Esta vulnerabilidade afeta versões anteriores à 1.4.0 do node-forge. A versão 1.4.0 corrige esta falha.
A vulnerabilidade CVE-2026-33894 no forge permite a falsificação de assinaturas RSASSA PKCS#1 v1.5 quando utilizadas chaves com expoente público baixo (e=3). Um atacante pode criar assinaturas forjadas inserindo bytes "lixo" dentro da estrutura ASN (Abstract Syntax Notation One), de forma a enganar o processo de verificação. Essa técnica, similar ao ataque estilo Bleichenbacher, pode ser explorada para comprometer a integridade de dados assinados. Imagine um cenário onde um software é assinado digitalmente para garantir sua autenticidade. Se um atacante explorar essa vulnerabilidade, ele poderá criar uma versão modificada do software (com malware, por exemplo) e gerar uma assinatura falsa que passe na verificação. Isso permitiria que usuários desavisados instalassem a versão maliciosa, acreditando que é a original e segura. Os dados em risco incluem qualquer informação protegida por assinaturas RSASSA PKCS#1 v1.5 geradas com a versão vulnerável do forge. O raio de impacto (blast radius) é amplo, afetando qualquer sistema que utilize o forge para verificação de assinaturas e que esteja exposto a assinaturas potencialmente maliciosas. A capacidade de falsificar assinaturas pode levar a ataques de "man-in-the-middle", comprometimento de cadeias de confiança e execução de código malicioso.
Atualmente, não há relatos públicos de exploração ativa (KEV - Known Exploitation) da vulnerabilidade CVE-2026-33894. No entanto, a similaridade com o CVE-2022-24771, que já demonstrou ser explorável, sugere que essa vulnerabilidade também pode ser explorada no futuro. A ausência de um Proof of Concept (PoC) público não significa que a vulnerabilidade não seja perigosa. É importante monitorar a situação e estar preparado para responder rapidamente caso um PoC seja divulgado. Dada a natureza da vulnerabilidade e a possibilidade de exploração, é recomendável priorizar a correção o mais rápido possível para mitigar o risco.
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A correção para CVE-2026-33894 é a atualização para a versão 1.4.0 ou superior do forge. Essa versão inclui as correções necessárias para validar corretamente as assinaturas RSASSA PKCS#1 v1.5 e evitar a falsificação. Se a atualização imediata não for possível, uma medida paliativa (workaround) seria desabilitar o suporte para o algoritmo RSASSA PKCS#1 v1.5, se isso for viável para sua aplicação. É crucial verificar a ordem de aplicação de patches, especialmente se outras vulnerabilidades também estiverem presentes. Após a aplicação do patch, é recomendado realizar testes de verificação de assinatura com diferentes assinaturas para garantir que a correção foi implementada corretamente e que o sistema está funcionando como esperado. A validação da assinatura deve ser a última etapa do processo de verificação, garantindo que todos os outros controles de segurança foram implementados antes de confiar na assinatura.
Actualice la biblioteca Forge a la versión 1.4.0 o superior. Esta versión corrige la vulnerabilidad de falsificación de firmas RSA-PKCS. Para actualizar, utilice el gestor de paquetes npm: `npm install node-forge@latest`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33894 is a vulnerability in the Forge library that allows attackers to forge RSASSA PKCS#1 v1.5 signatures using low public exponent keys.
You are affected if you are using Forge versions prior to 1.4.0 and rely on RSASSA PKCS#1 v1.5 signatures with a public exponent of 3.
Upgrade to Forge version 1.4.0 or later to resolve this vulnerability.
Currently, there are no publicly known exploits for CVE-2026-33894, but the potential for exploitation exists.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-33894 for more information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.