CVE-2026-33894 in forge
Riassunto
di VulDB • 02/07/2026
Forge (noto anche come `node-forge`) è un'implementazione nativa in JavaScript del Transport Layer Security. Prima della versione 1.4.0, la verifica delle firme RSASSA PKCS#1 v1.5 accetta firme contraffatte per chiavi con esponente pubblico basso (e=3). Gli attaccanti possono creare firme false inserendo byte di "spazzatura" all'interno della struttura ASN al fine di costruire una firma che superi la verifica, consentendo un attacco di falsificazione in stile Bleichenbacher. Questo problema è simile a CVE-2022-24771, ma prevede l'aggiunta di byte in un campo aggiuntivo all'interno della struttura ASN, anziché al suo esterno. Inoltre, forge non convalida che le firme includano almeno 8 byte di padding come definito dalla specifica, fornendo agli attaccanti ulteriore spazio per costruire falsificazioni Bleichenbacher. La versione 1.4.0 risolve il problema.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.