Forge 由于 BigInteger.modInverse() 函数使用零输入导致无限循环，存在拒绝服务漏洞

此漏洞可能导致拒绝服务（DoS）攻击，攻击者可以通过向node-forge库中的BigInteger.modInverse()函数（继承自jsbn库）提供零值输入来触发。该函数内部使用的扩展欧几里得算法在遇到零值输入时会进入无法达到的退出条件，导致进程无限期挂起并消耗100%的CPU资源。攻击者无需身份验证即可发起此类攻击，只需向依赖node-forge库的应用程序发送特制的请求即可。受影响的应用程序将变得无响应，无法处理其他请求，从而导致服务中断。数据本身不会被泄露或篡改，但服务的可用性将受到严重影响。由于node-forge被广泛应用于加密和安全相关的应用场景，例如数字签名、密钥生成和数据加密，因此该漏洞的潜在影响范围非常广泛，可能影响到依赖这些功能的各种Web应用、移动应用和后端服务。如果攻击者能够成功利用此漏洞，可能导致关键业务系统瘫痪，造成经济损失和声誉损害。

Applications built on Node.js that utilize the node-forge library for cryptographic operations are at risk. This includes web applications, APIs, and command-line tools. Specifically, projects that haven't been updated recently or those relying on older dependencies are particularly vulnerable.

• nodejs / server:

npm list node-forge  # Check installed version

• nodejs / server:

ps aux | grep forge # Check for processes using node-forge

• nodejs / server:

journalctl -u node -f # Monitor Node.js logs for errors related to BigInteger or modInverse

1. 2026-03-26Disclosure

   disclosure

1. 已保留2026-03-24
2. 发布日期2026-03-26
3. 修改日期2026-03-31
4. EPSS 更新日期2026-04-04

修复此漏洞的关键是升级到node-forge库的1.4.0或更高版本。该版本已经修复了BigInteger.modInverse()函数中的无限循环问题。如果无法立即升级，可以尝试使用一些临时缓解措施，例如对输入进行严格的验证，确保BigInteger.modInverse()函数不会接收到零值输入。然而，这些缓解措施并不能完全消除风险，因此升级仍然是首选的解决方案。升级时，建议在测试环境中进行充分的测试，以确保升级不会对现有功能产生负面影响。升级完成后，应验证修复是否成功，可以通过尝试触发该漏洞来确认。建议尽快完成升级，以降低潜在的安全风险。在升级过程中，请务必备份相关数据，以防止意外情况发生。