MEDIUMCVE-2026-4603CVSS 5.9

jsrsasign: 除零错误允许无效的 JWK 模数导致 RSA 操作中确定性零输出

平台

nodejs

组件

jsrsasign

修复版本

11.1.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-4603 描述了 jsrsasign 库中一个除零漏洞，该漏洞存在于 11.1.1 之前的版本。攻击者可以通过构造特定的 JWK（JSON Web Key）输入，触发 RSA 公钥操作中的除零错误，从而导致“无效密钥”错误被隐藏。此漏洞影响使用 jsrsasign 库的 Node.js 应用，建议升级至 11.1.1 版本以修复此安全问题。

影响与攻击场景

该除零漏洞允许攻击者绕过 RSA 公钥验证和加密过程，导致密钥验证失败时错误信息被隐藏。攻击者可以构造恶意的 JWK，使其模数解码为零，从而欺骗系统认为密钥有效。这可能导致敏感数据泄露或未经授权的访问。虽然该漏洞本身不会直接导致远程代码执行，但它可能被用于进一步攻击，例如通过隐藏其他安全问题。

利用背景

该漏洞已公开披露，且存在潜在的利用风险。目前尚未观察到大规模的利用活动，但由于该漏洞的隐蔽性，可能被攻击者用于针对特定目标。该漏洞已添加到 CISA KEV 目录中，表明其具有一定的安全风险。建议密切关注相关安全动态，并及时采取应对措施。

哪些人处于风险中翻译中…

Applications and services utilizing jsrsasign for RSA key operations, particularly those handling JSON Web Keys (JWKs) from untrusted sources, are at risk. This includes Node.js applications relying on jsrsasign for signing, encryption, or verification. Shared hosting environments where multiple applications share the same jsrsasign installation are also vulnerable.

检测步骤翻译中…

• nodejs:

  npm list jsrsasign

This command will list installed jsrsasign versions. Check if the version is less than 11.1.1. • nodejs:

  find / -name "ext/rsa.js" -o -name "ext/jsbn.js" -print

Locate these files to confirm their presence and potentially examine their contents for the vulnerable code. • generic web: Review application logs for any instances of RSA operations returning zero values, especially when handling JWK inputs. Look for error messages related to invalid keys or modulus values.

攻击时间线

2026-03-23Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.01% (1% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件jsrsasign

供应商osv

影响范围修复版本

0 – 11.1.111.1.1

—11.1.1

弱点分类 (CWE)

CWE-369

时间线

已保留2026-03-22
发布日期2026-03-23
修改日期2026-03-30
EPSS 更新日期2026-03-30

缓解措施和替代方案

修复此漏洞的首要措施是立即将 jsrsasign 库升级至 11.1.1 或更高版本。如果无法立即升级，可以尝试使用 WAF（Web Application Firewall）或代理服务器来过滤包含恶意 JWK 的请求。此外，应加强输入验证，确保接收到的 JWK 模数不为零。在升级后，请验证 RSA 公钥操作是否正常工作，并检查日志中是否存在异常错误。

修复方法翻译中…

Actualice la dependencia jsrsasign a la versión 11.1.1 o superior. Esto corrige la vulnerabilidad de división por cero. Ejecute `npm install jsrsasign@latest` o `yarn upgrade jsrsasign` para actualizar.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-4603 — 除零漏洞在 jsrsasign 中?

CVE-2026-4603 是 jsrsasign 库在 11.1.1 之前的版本中发现的一个除零漏洞，攻击者可以通过构造特定的 JWK 输入来触发该漏洞。

我是否受到 CVE-2026-4603 在 jsrsasign 中影响?

如果您正在使用 jsrsasign 库的 11.1.1 之前的版本，则可能受到此漏洞的影响。请立即检查您的依赖项版本。

如何修复 CVE-2026-4603 在 jsrsasign 中?

升级 jsrsasign 库至 11.1.1 或更高版本可以修复此漏洞。

CVE-2026-4603 是否正在被积极利用?

目前尚未观察到大规模的利用活动，但由于该漏洞的隐蔽性，存在潜在的利用风险。

在哪里可以找到 jsrsasign 官方关于 CVE-2026-4603 的公告?

请访问 jsrsasign 官方网站或 GitHub 仓库，查找关于 CVE-2026-4603 的安全公告。