CVE-2026-33895 in forgeinformazioni

Riassunto

di VulDB • 02/07/2026

Forge (noto anche come `node-forge`) è un'implementazione nativa in JavaScript del Transport Layer Security. Prima della versione 1.4.0, la verifica delle firme Ed25519 accetta firme non canoniche contraffatte in cui lo scalare S non è ridotto modulo l'ordine del gruppo (`S >= L`). Una firma valida e la sua variante `S + L` vengono entrambe verificate correttamente da forge, mentre Node.js `crypto.verify` (basato su OpenSSL) rifiuta la variante `S + L`, come definito dalla specifica. Questa classe di malleabilità delle firme è stata sfruttata in pratica per aggirare le logiche di autenticazione e autorizzazione (vedere CVE-2026-25793, CVE-2022-35961). Le applicazioni che si basano sull'univocità della firma (ad esempio deduplica tramite byte della firma, tracciamento delle replay, controlli di canonizzazione degli oggetti firmati) potrebbero essere aggirate. La versione 1.4.0 risolve il problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00348

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!