Forge 由于缺少 S > L 检查，在 Ed25519 中存在签名伪造漏洞

Forge（也称为 `node-forge`）是用 JavaScript 编写的传输层安全协议的原生实现。在 1.4.0 之前的版本中，Ed25519 签名验证接受伪造的非规范签名，其中标量 S 未对组顺序进行模运算（`S >= L`）。有效的签名及其 `S + L` 变体都在 forge 中验证，而 Node.js `crypto.verify`（OpenSSL 支持）拒绝 `S + L` 变体，如规范所定义。这种签名可塑性已在实践中被利用来绕过身份验证和授权逻辑（参见 CVE-2026-25793、CVE-2022-35961）。依赖于签名唯一性的应用程序（即，通过签名字节进行重复数据删除、重放跟踪、签名对象规范化检查）可能会被绕过。1.4.0 版本修复了此问题。