平台
nodejs
组件
node-forge
修复版本
1.4.1
1.4.0
CVE-2026-33894 是 node-forge 库中存在的一个安全漏洞,该漏洞允许攻击者伪造 RSASSA PKCS#1 v1.5 签名,特别是针对低公钥指数密钥(e=3)。攻击者可以通过在 ASN 结构中填充“垃圾”字节来构造通过验证的签名,从而实现 Bleichenbacher 风格的伪造。此漏洞类似于 CVE-2022-24771,但它是在 ASN 结构中的附加字段中添加字节,而不是在结构外部添加。该漏洞影响 node-forge 库,并在 1.4.0 版本中得到修复。
CVE-2026-33894 涉及 forge 库中 RSASSA PKCS#1 v1.5 签名验证的漏洞。攻击者可以利用此漏洞伪造签名,特别是当使用低公共指数 (e=3) 的密钥时。攻击方式是通过在 ASN 结构中填充“垃圾”字节,构造一个能够通过验证的签名,从而实现类似于 Bleichenbacher 风格的伪造。这种伪造攻击依赖于 ASN 结构内部的附加字段,与 CVE-2022-24771 类似,但攻击向量有所不同。此外,forge 库未验证签名是否包含 RFC2313 中定义的至少 8 字节的填充,这进一步增加了攻击的可能性。如果攻击者能够成功伪造签名,他们可能能够冒充其他用户进行操作,篡改数据,甚至可能导致未经授权的访问。数据和访问的风险取决于应用程序如何使用 forge 库进行签名验证。例如,如果应用程序使用 forge 库验证用户身份或授权访问资源,攻击者可以利用此漏洞绕过这些安全措施。攻击范围取决于应用程序的架构和部署方式,可能影响整个系统或仅限于特定功能。
目前,CVE-2026-33894 尚无公开的利用报告 (KEV)。这意味着尚未发现攻击者利用此漏洞进行实际攻击。然而,由于该漏洞的严重性较高 (CVSS 评分 7.5),并且存在潜在的攻击向量,因此建议尽快修复此漏洞。虽然目前没有公开的 POC,但 Bleichenbacher 风格的攻击在历史上已被证明是可行的,因此存在潜在的利用风险。由于缺乏公开利用信息,但漏洞的潜在影响,建议将此漏洞视为高优先级进行修复。
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
修复 CVE-2026-33894 的最佳方法是升级到 forge 库的 1.4.0 或更高版本。此版本包含修复此漏洞的补丁。如果无法立即升级,可以考虑以下缓解措施:避免使用公共指数为 3 的 RSA 密钥。虽然这并不能完全消除风险,但可以降低攻击的难度。此外,仔细审查应用程序中所有使用 forge 库进行签名验证的代码,确保签名验证过程的安全性。在升级或实施缓解措施之前,建议进行彻底的测试,以确保不会对应用程序的功能产生负面影响。升级过程应按照 forge 库的官方文档进行,并确保在生产环境部署之前在测试环境中进行验证。验证步骤应包括使用已知有效的签名和伪造的签名来测试签名验证功能,以确保漏洞已成功修复。
Actualice la biblioteca Forge a la versión 1.4.0 o superior. Esta versión corrige la vulnerabilidad de falsificación de firmas RSA-PKCS. Para actualizar, utilice el gestor de paquetes npm: `npm install node-forge@latest`.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33894 是 forge 库中 RSASSA PKCS#1 v1.5 签名验证漏洞的标识符,攻击者可以伪造签名。
使用 forge 库低于 1.4.0 版本的应用程序可能受到此漏洞的影响。
将 forge 库升级到 1.4.0 或更高版本可以修复此漏洞。
目前尚无公开的利用报告,但建议尽快修复此漏洞以降低潜在风险。
请参考 NVD 数据库或 forge 库的官方安全公告以获取更多信息。
CVSS 向量