Forge 在其证书链验证中存在 basicConstraints 绕过漏洞 (RFC 5280 violation)

Forge (也称为 `node-forge`) 是 JavaScript 中传输层安全协议的原生实现。在 1.4.0 版本之前，当中间证书缺少 `basicConstraints` 和 `keyUsage` 扩展时，`pki.verifyCertificateChain()` 不强制执行 RFC 5280 basicConstraints 要求。这允许任何叶子证书（没有这些扩展）充当 CA 并签署其他证书，node-forge 会将其视为有效。1.4.0 版本修复了此问题。