平台
nodejs
组件
jsrsasign
修复版本
11.1.1
11.1.1
CVE-2026-4599 描述了 jsrsasign 库中一个严重的私钥恢复漏洞。该漏洞源于 getRandomBigIntegerZeroToMax 和 getRandomBigIntegerMinToMax 函数中的不完整比较检查,攻击者可以利用这些缺陷来预测并恢复私钥。受影响的版本包括 jsrsasign 7.0.0 之前的版本以及 11.1.1 之前的版本。建议立即升级到 11.1.1 版本以修复此漏洞。
此漏洞的影响极其严重,攻击者可以完全恢复受影响应用程序的私钥。一旦获得私钥,攻击者就可以冒充应用程序进行签名操作,例如签署代码、创建伪造的数字证书或访问受保护的资源。这可能导致严重的身份盗用、数据泄露和系统控制权被夺取。由于 jsrsasign 广泛应用于 Node.js 环境中,因此该漏洞可能影响大量应用程序和服务。攻击者可能利用此漏洞进行大规模攻击,造成广泛的破坏。
CVE-2026-4599 已于 2026 年 3 月 23 日公开披露。目前,该漏洞的公开利用代码 (POC) 已知,这意味着攻击者可以相对容易地利用此漏洞。虽然尚未确认有大规模的利用活动,但由于漏洞的严重性和易利用性,预计可能会出现。
Applications and services built on Node.js that utilize the jsrsasign library for digital signature generation, particularly those relying on DSA signatures, are at risk. This includes web applications, command-line tools, and backend services that process sensitive data requiring cryptographic protection. Projects using older versions of jsrsasign in production environments are particularly vulnerable.
• nodejs / server:
npm list jsrsasign
# Check version. If < 11.1.1, upgrade immediately.• generic web:
curl -I <your_application_url>
# Check for any unusual headers or responses related to signature generation.disclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
最有效的缓解措施是立即将 jsrsasign 升级到 11.1.1 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,审查应用程序代码,查找使用 jsrsasign 库的任何地方,并确保对私钥的使用进行严格的访问控制。其次,实施额外的安全层,例如使用硬件安全模块 (HSM) 来保护私钥。最后,监控应用程序的日志,以检测任何可疑活动,例如尝试访问私钥或进行未经授权的签名操作。升级后,请验证新版本是否已成功部署,并确认私钥是否仍然安全。
将jsrsasign依赖项升级到11.1.1或更高版本。这修复了可能允许恢复私钥的不完整比较漏洞。执行`npm install jsrsasign@latest`或`yarn upgrade jsrsasign`进行升级。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-4599 是 jsrsasign 库中一个严重的安全漏洞,攻击者可以通过利用不完整的比较检查来恢复私钥,CVSS 评分为 9.1(严重)。
如果您的应用程序使用了 jsrsasign 7.0.0 之前的版本或 11.1.1 之前的版本,则可能受到此漏洞的影响。请立即检查您的依赖项。
升级到 jsrsasign 11.1.1 或更高版本是修复此漏洞的最佳方法。请确保在升级后验证新版本是否已成功部署。
虽然尚未确认有大规模的利用活动,但由于漏洞的严重性和易利用性,预计可能会出现。
请访问 jsrsasign 的官方 GitHub 仓库或相关安全公告页面,以获取有关此漏洞的更多信息和官方公告。
CVSS 向量