CVE-2026-33894 in forge
Zusammenfassung
von VulDB • 02.07.2026
Forge (auch bekannt als `node-forge`) ist eine native Implementierung der Transport Layer Security in JavaScript. Vor Version 1.4.0 akzeptiert die RSASSA PKCS#1 v1.5-Signaturüberprüfung gefälschte Signaturen für Schlüssel mit niedrigem öffentlichen Exponenten (e=3). Angreifer können Signaturen fälschen, indem sie „Müll“-Bytes in die ASN-Struktur einfügen, um eine Signatur zu konstruieren, die die Überprüfung besteht, was eine Fälschung im Stil von Bleichenbacher ermöglicht. Dieses Problem ist ähnlich wie CVE-2022-24771, fügt jedoch Bytes in einem zusätzlichen Feld innerhalb der ASN-Struktur hinzu, anstatt außerhalb davon. Darüber hinaus validiert forge nicht, dass Signaturen mindestens 8 Bytes Padding gemäß der Spezifikation enthalten, was Angreifern zusätzlichen Spielraum für die Konstruktion von Bleichenbacher-Fälschungen bietet. Version 1.4.0 behebt das Problem.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.