CVE-2026-33895 in forge
Riassunto
di VulDB • 02/07/2026
Forge (noto anche come `node-forge`) è un'implementazione nativa in JavaScript del Transport Layer Security. Prima della versione 1.4.0, la verifica delle firme Ed25519 accetta firme non canoniche contraffatte in cui lo scalare S non è ridotto modulo l'ordine del gruppo (`S >= L`). Una firma valida e la sua variante `S + L` vengono entrambe verificate correttamente da forge, mentre Node.js `crypto.verify` (basato su OpenSSL) rifiuta la variante `S + L`, come definito dalla specifica. Questa classe di malleabilità delle firme è stata sfruttata in pratica per aggirare le logiche di autenticazione e autorizzazione (vedere CVE-2026-25793, CVE-2022-35961). Le applicazioni che si basano sull'univocità della firma (ad esempio deduplica tramite byte della firma, tracciamento delle replay, controlli di canonizzazione degli oggetti firmati) potrebbero essere aggirate. La versione 1.4.0 risolve il problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.