CVE-2026-33895 in forgeالمعلومات

الملخص

بحسب VulDB • 11/05/2026

تُعد Forge (المعروفة أيضاً باسم `node-forge`) تنفيذًا أصليًا لبروتوكول أمان طبقة النقل (TLS) بلغة جافا سكريبت. قبل الإصدار 1.4.0، كانت عملية التحقق من التواقيع الرقمية باستخدام خوارزمية Ed25519 تقبل تواقيع مزيفة غير قياسية، حيث لا يتم اختزال المتجه القياسي S modulo ترتيب المجموعة (`S >= L`). في مكتبة Forge، يتم التحقق من صحة كل من التوقيع الأصلي ومتغيراته `S + L`، بينما ترفض مكتبة Node.js `crypto.verify` (المدعومة بـ OpenSSL) متغير `S + L`، وذلك وفقاً للمواصفات المحددة. وقد استُغلت هذه الفئة من قابلية التلاعب بالتواقيع (Signature Malleability) عملياً لتجاوز منطق المصادقة والتفويض (انظر CVE-2026-25793، CVE-2022-35961). قد يتم تجاوز التطبيقات التي تعتمد على تفرد التواقيع (أي الاستبعاد المزدوج بناءً على بايتات التوقيع، وتتبع إعادة التشغيل، وفحوصات توحيد الكائنات الموقعة). يقوم الإصدار 1.4.0 بإصلاح هذه الثغرة.

Once again VulDB remains the best source for vulnerability data.

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353826

EPSS

0.00348

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!