CVE-2026-4602 描述了 jsrsasign 库中一个数字类型转换错误。该漏洞源于 ext/jsbn2.js 对负指数的处理不当,攻击者可以通过构造特定的输入,强制计算错误的模逆元,从而破坏签名验证过程。该漏洞影响 jsrsasign 版本低于 11.1.1 的用户,建议尽快升级至 11.1.1 版本以修复此安全问题。
此漏洞允许攻击者绕过签名验证机制,伪造签名,从而冒充合法用户执行恶意操作。攻击者可以利用该漏洞篡改数据,进行未经授权的访问,甚至可能完全控制受影响的系统。由于 jsrsasign 广泛应用于各种安全相关的 JavaScript 应用中,例如数字签名、加密和身份验证,因此该漏洞的潜在影响非常严重。如果攻击者能够成功利用此漏洞,可能导致敏感信息泄露、系统完整性受损,甚至可能导致服务中断。
该漏洞已公开披露,且 CVSS 评分为高危 (7.5)。目前尚未发现公开的利用代码,但由于该漏洞的严重性,预计未来可能会出现利用代码。建议密切关注安全社区的动态,并及时采取相应的安全措施。该漏洞尚未被添加到 CISA KEV 目录。
漏洞利用状态
EPSS
0.05% (16% 百分位)
CISA SSVC
最有效的缓解措施是立即将 jsrsasign 升级至 11.1.1 或更高版本。如果升级会导致应用程序出现兼容性问题,可以考虑回滚到之前的稳定版本,并尽快进行兼容性测试。此外,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,并实施严格的输入验证,以防止攻击者构造恶意输入。对于使用 jsrsasign 的应用程序,应定期审查代码,确保对数字类型转换进行适当的验证和处理。
Actualice la versión del paquete jsrsasign a la versión 11.1.1 o superior. Esto corregirá la vulnerabilidad relacionada con el manejo incorrecto de exponentes negativos en la función modPow, evitando posibles ataques de verificación de firmas.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-4602 是 jsrsasign 库中一个数字类型转换缺陷,由于负指数处理不当,攻击者可以破坏签名验证。
如果您正在使用 jsrsasign 版本低于 11.1.1,则可能受到此漏洞的影响。请立即检查您的版本。
将 jsrsasign 升级至 11.1.1 或更高版本。如果升级导致兼容性问题,请考虑回滚并进行兼容性测试。
目前尚未发现公开的利用代码,但由于漏洞的严重性,预计未来可能会出现。
请访问 jsrsasign 的官方网站或 GitHub 仓库,查找相关的安全公告和更新信息。
CVSS 向量