平台
nodejs
组件
node-forge
修复版本
1.3.0
CVE-2022-24771 是 node-forge 存在的一个 RSA PKCS#1 v1.5 签名验证漏洞,该漏洞允许攻击者通过构造恶意结构,在公钥指数较低的情况下伪造签名。成功利用此漏洞可能导致身份验证绕过和其他安全风险。受影响的版本包括 node-forge 1.3.0 之前的版本。此漏洞已在 node-forge 1.3.0 版本中得到修复。
CVE-2022-24771 影响 node-forge 库,特别是 RSA PKCS#1 v1.5 签名验证代码。该漏洞在于对摘要算法结构的检查过于宽松。这允许攻击者创建精心设计的结构来窃取填充字节,并在使用低公开指数时,利用 PKCS#1 编码消息中未经验证的部分来伪造签名。依赖 node-forge 进行 RSA 签名验证并使用小公开指数配置的应用程序面临重大风险。
利用此漏洞需要攻击者具备 PKCS#1 签名结构知识,并能够使用 node-forge 在系统上进行验证,发送恶意数据。成功取决于特定的系统配置,包括 RSA 密钥中使用的公开指数。较小的公开指数会增加利用成功的可能性。攻击的复杂性在于需要构建精心设计的签名结构来欺骗验证器。
漏洞利用状态
EPSS
0.14% (35% 百分位)
CVSS 向量
解决此漏洞的方法是将 node-forge 库更新到 1.3.0 或更高版本。此版本修复了摘要算法结构的验证,从而防止填充操作和签名伪造。强烈建议升级到 node-forge 的最新稳定版本以减轻此风险。此外,请检查使用 node-forge 的代码,以确保使用安全的公开指数,并遵循密钥和签名管理方面的最佳实践。
Actualice a la versión 1.3.0 o superior de node-forge para mitigar la vulnerabilidad. Esta actualización corrige la verificación inadecuada de la firma criptográfica, previniendo la posibilidad de falsificación de firmas bajo ciertas condiciones.
漏洞分析和关键警报直接发送到您的邮箱。
PKCS#1 v1.5 是 RSA 消息格式的标准。它定义了在 RSA 中签名或解密之前,消息应如何编码和填充。
公开指数是 RSA 密钥的关键组件。较小的公开指数可能会使签名更容易受到此类攻击,因为它简化了伪造签名的计算。
如果无法立即更新,请考虑实施额外的缓解措施,例如使用更大的公开指数和严格的签名验证。
目前没有专门用于检测此漏洞的工具。但是,建议进行彻底的代码审查,以识别 node-forge 的任何不安全使用。
KEV: no 表示此漏洞未包含在社区漏洞知识库中。