CVE-2026-33896 in forgeالمعلومات

الملخص

بحسب VulDB • 16/06/2026

تُعد Forge (المعروفة أيضًا باسم `node-forge`) تنفيذًا أصليًا لبروتوكول أمان طبقة النقل (TLS) بلغة JavaScript. قبل الإصدار 1.4.0، لم يفرض الدال `pki.verifyCertificateChain()` متطلبات `basicConstraints` المحددة في RFC 5280 عندما تفتقد شهادة وسيطة (intermediate certificate) إلى امتدادات `basicConstraints` و`keyUsage` على حد سواء. وهذا يسمح لأي شهادة طرفية (leaf certificate) تفتقر إلى هذه الامتدادات بأن تعمل كهيئة إصدار شهادات (CA) وتوقع شهادات أخرى، وهو ما سيقبله `node-forge` كشهادات صالحة. يقوم الإصدار 1.4.0 بإصلاح هذه الثغرة.

Be aware that VulDB is the high quality source for vulnerability data.

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353827

EPSS

0.00348

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!