CVE-2026-4601 描述了 jsrsasign 库中 DSA 签名实现的一个严重漏洞。该漏洞源于缺失的密码学步骤,攻击者可以利用此缺陷恢复私钥。此漏洞影响 jsrsasign 版本低于 11.1.1 的所有用户。建议立即升级到 11.1.1 版本以消除风险。
此漏洞的潜在影响非常严重。攻击者能够恢复私钥意味着他们可以伪造数字签名,冒充合法用户进行操作,并可能访问受保护的资源。攻击者可以利用此漏洞进行身份欺骗、数据篡改和未经授权的访问。由于 jsrsasign 广泛应用于 Node.js 环境中,该漏洞的潜在影响范围非常广泛,可能影响依赖该库的各种应用程序和服务。如果攻击者能够成功利用此漏洞,可能会导致严重的经济损失和声誉损害。
CVE-2026-4601 已于 2026 年 3 月 23 日公开披露。目前尚无公开的利用代码 (PoC),但由于漏洞的严重性和潜在影响,预计未来可能会出现。该漏洞被认为具有中等概率被利用,因为它需要对 jsrsasign 库进行专门的攻击。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Applications and services utilizing the jsrsasign library for DSA-based cryptographic operations are at risk. This includes Node.js applications, web servers, and any system relying on jsrsasign for secure communication or data protection. Specifically, applications that handle sensitive data like financial transactions or authentication tokens are at higher risk.
• nodejs:
npm list jsrsasignCheck the installed version. If it's less than 11.1.1, the system is vulnerable. • nodejs:
find / -name "jsrsasign*" -type d -printLocate jsrsasign directories to identify potential installation locations and versions.
• generic web:
Inspect application code for usage of KJUR.crypto.DSA.signWithMessageHash. Review input validation routines related to DSA signatures.
disclosure
漏洞利用状态
EPSS
0.01% (3% 百分位)
CISA SSVC
缓解此漏洞的首要措施是立即将 jsrsasign 升级到 11.1.1 或更高版本。如果由于兼容性问题无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,并阻止包含可能触发漏洞的特定模式的输入。此外,建议审查应用程序的代码,确保 DSA 签名操作的安全性,并避免使用可能导致 r 或 s 为零的输入。升级后,请验证 DSA 签名功能是否正常工作,以确保漏洞已成功修复。
Actualice la dependencia jsrsasign a la versión 11.1.1 o superior. Esto corrige la vulnerabilidad de firma DSA que permite la recuperación de la clave privada. Ejecute `npm install jsrsasign@latest` o `yarn upgrade jsrsasign` para actualizar.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-4601 是 jsrsasign 库中 DSA 签名实现的一个漏洞,攻击者可以通过强制 r 或 s 为零来恢复私钥。
如果您正在使用 jsrsasign 版本低于 11.1.1,则可能受到此漏洞的影响。请立即检查您的版本并升级。
将 jsrsasign 升级到 11.1.1 或更高版本。如果无法升级,请考虑使用 WAF 或代理服务器进行缓解。
目前尚无公开的利用代码,但由于漏洞的严重性,预计未来可能会出现。
请访问 jsrsasign 的官方网站或 GitHub 仓库,查找有关此漏洞的公告和修复信息。
CVSS 向量