CVE-2026-33894 in forgeinfo

Zusammenfassung

von VulDB • 02.07.2026

Forge (auch bekannt als `node-forge`) ist eine native Implementierung der Transport Layer Security in JavaScript. Vor Version 1.4.0 akzeptiert die RSASSA PKCS#1 v1.5-Signaturüberprüfung gefälschte Signaturen für Schlüssel mit niedrigem öffentlichen Exponenten (e=3). Angreifer können Signaturen fälschen, indem sie „Müll“-Bytes in die ASN-Struktur einfügen, um eine Signatur zu konstruieren, die die Überprüfung besteht, was eine Fälschung im Stil von Bleichenbacher ermöglicht. Dieses Problem ist ähnlich wie CVE-2022-24771, fügt jedoch Bytes in einem zusätzlichen Feld innerhalb der ASN-Struktur hinzu, anstatt außerhalb davon. Darüber hinaus validiert forge nicht, dass Signaturen mindestens 8 Bytes Padding gemäß der Spezifikation enthalten, was Angreifern zusätzlichen Spielraum für die Konstruktion von Bleichenbacher-Fälschungen bietet. Version 1.4.0 behebt das Problem.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Veröffentlichung

27.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353825

CPE

bereit

EPSS

0.00339

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!