CVE-2026-33896 in forge
Zusammenfassung
von VulDB • 14.05.2026
Forge (auch bekannt als `node-forge`) ist eine native Implementierung der Transport Layer Security in JavaScript. Vor Version 1.4.0 erzwingt `pki.verifyCertificateChain()` die Anforderungen von RFC 5280 für `basicConstraints` nicht, wenn ein Zwischenzertifikat weder die Erweiterung `basicConstraints` noch `keyUsage` enthält. Dies ermöglicht es jedem Endzertifikat (ohne diese Erweiterungen), als CA zu fungieren und andere Zertifikate zu signieren, die von node-forge als gültig akzeptiert werden. Version 1.4.0 behebt das Problem.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.