CVE-2022-24772是node-forge中的一个RSA PKCS#1 v1.5签名验证漏洞,由于代码未检查DigestInfo ASN.1结构解码后的尾部垃圾字节,攻击者可以移除填充字节并添加垃圾数据,在使用低公钥指数时伪造签名。该漏洞可能导致严重的身份验证绕过。受影响的版本包括node-forge 1.3.0之前的版本。该漏洞已在node-forge 1.3.0版本中修复。
CVE-2022-24772 影响 node-forge 库,特别是其 RSA PKCS#1 v1.5 签名验证代码。该漏洞在于 ASN.1 DigestInfo 结构解码后的尾随垃圾字节缺乏验证。这使得攻击者能够删除填充字节并添加垃圾数据以伪造签名,尤其是在使用低公开指数时。依赖 node-forge 进行安全 RSA PKCS#1 v1.5 签名验证的应用程序面临重大风险,因为攻击者可能会破坏数据完整性和交易真实性。
利用此漏洞需要深入了解 ASN.1 结构以及 RSA PKCS#1 v1.5 签名的工作原理。攻击者需要拦截或生成 RSA PKCS#1 v1.5 签名,修改填充以包含恶意数据,然后将修改后的签名用于验证。利用成功取决于特定的签名验证实现以及使用的公开指数。利用的复杂性并不能减轻漏洞的严重性,因为资源和技能充足的攻击者可能会利用它来破坏受影响的系统。
漏洞利用状态
EPSS
0.16% (37% 百分位)
CVSS 向量
此漏洞的修复方法是将 node-forge 库更新到 1.3.0 或更高版本。此版本包含纠正措施,可以正确验证 ASN.1 解码后的垃圾字节,从而降低签名伪造的风险。强烈建议所有 node-forge 用户尽快应用此更新。此外,请检查使用 node-forge 的代码,以确保遵循最佳安全实践并尽量减少潜在攻击的暴露。应优先更新关键系统。
Actualice a la versión 1.3.0 o superior de node-forge para corregir la vulnerabilidad. Esta actualización aborda la verificación incorrecta de la firma criptográfica al decodificar estructuras ASN.1, previniendo la falsificación de firmas en ciertos escenarios.
漏洞分析和关键警报直接发送到您的邮箱。
ASN.1 (Abstract Syntax Notation One) 是一种定义和表示结构化数据的标准。它广泛用于网络协议和文件格式。
PKCS#1 v1.5 是一种 RSA 消息(包括签名和加密)格式的标准。
版本 1.3.0 通过验证垃圾字节来修复漏洞,从而防止签名伪造。
如果无法立即更新,请考虑实施其他缓解措施,例如验证签名的来源并使用更大的公开指数。
重要的是要随时了解 node-forge 和您的应用程序使用的其他库的最新安全更新。