Plataforma
nodejs
Componente
node-forge
Corrigido em
1.4.1
1.4.0
CVE-2026-33896 descreve uma falha de validação em pki.verifyCertificateChain() no node-forge. A ausência de verificações adequadas nas extensões basicConstraints e keyUsage em certificados intermediários permite que certificados folha atuem como Autoridades de Certificação (CA) não autorizadas. Isso possibilita a assinatura de certificados inválidos, comprometendo a segurança da cadeia de confiança. Afeta versões anteriores a 1.4.0 do node-forge. A vulnerabilidade foi corrigida na versão 1.4.0.
A vulnerabilidade CVE-2026-33896 no forge permite que certificados folha sem as extensões basicConstraints e keyUsage atuem como Autoridades de Certificação (ACs). A função pki.verifyCertificateChain() não aplica os requisitos básicos de restrição do RFC 5280 quando um certificado intermediário carece dessas extensões. Isso significa que um certificado folha, mesmo que não seja destinado a ser uma AC, pode assinar outros certificados, e o node-forge os aceitará como válidos. Isso compromete a integridade da cadeia de confiança e pode permitir ataques de intermediário (man-in-the-middle) ou a criação de certificados falsos.
Um atacante pode explorar esta vulnerabilidade criando um certificado folha sem as extensões basicConstraints e keyUsage. Em seguida, o atacante pode usar este certificado para assinar um certificado malicioso que se assemelhe a um certificado legítimo. Se uma aplicação usar o node-forge para verificar as cadeias de certificados e não estiver atualizada, aceitará o certificado malicioso como válido, permitindo que o atacante intercepte e modifique o tráfego de rede.
Applications built on Node.js that rely on node-forge for certificate validation are at risk. This includes applications handling TLS connections, verifying digital signatures, or performing other certificate-based authentication. Specifically, applications that accept certificates from untrusted sources or have weak certificate validation policies are particularly vulnerable.
• nodejs:
Get-Process | Where-Object {$_.ProcessName -match 'node'}• nodejs: Check for node-forge versions prior to 1.4.0 using npm list node-forge.
• nodejs: Review application code for calls to pki.verifyCertificateChain() and assess the context of certificate validation.
• generic web: Monitor server logs for errors related to certificate validation or unexpected certificate chains.
disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A solução é atualizar para a versão 1.4.0 ou superior do forge. Esta versão corrige a vulnerabilidade aplicando corretamente as restrições básicas do RFC 5280. Se não for possível atualizar imediatamente, recomenda-se revisar cuidadosamente todos os certificados usados em sua aplicação e garantir que os certificados intermediários tenham as extensões basicConstraints e keyUsage configuradas corretamente. Além disso, considere implementar validações adicionais em sua aplicação para verificar a validade dos certificados antes de confiar neles.
Atualize a biblioteca Forge para a versão 1.4.0 ou superior. Esta versão corrige a vulnerabilidade de omissão de (basicConstraints) na verificação da cadeia de certificados. A atualização garante que os requisitos do RFC 5280 sejam cumpridos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
RFC 5280 é um padrão que define os requisitos para a validação de certificados X.509, incluindo as restrições básicas e o uso de chaves.
Essas extensões indicam se um certificado é destinado a ser uma AC ou um certificado folha, e quais operações podem ser realizadas com a chave privada associada.
Revise cuidadosamente todos os certificados usados em sua aplicação e garanta que os certificados intermediários tenham as extensões basicConstraints e keyUsage configuradas corretamente. Implemente validações adicionais em sua aplicação.
Sim, existem várias ferramentas online e de linha de comando que podem verificar as extensões de um certificado. Procure por 'X.509 certificate viewer' ou 'openssl certificate info'.
Sim, qualquer aplicação que utilize o node-forge para verificar cadeias de certificados é potencialmente vulnerável se não estiver atualizada para a versão 1.4.0 ou superior.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.