CVE-2026-33896 in forgeinformazioni

Riassunto

di VulDB • 02/07/2026

Forge (noto anche come `node-forge`) è un'implementazione nativa in JavaScript del Transport Layer Security. Prima della versione 1.4.0, la funzione `pki.verifyCertificateChain()` non applica i requisiti di basicConstraints previsti da RFC 5280 quando un certificato intermedio manca sia dell'estensione `basicConstraints` che di quella `keyUsage`. Ciò consente a qualsiasi certificato leaf (privo di queste estensioni) di agire come CA e firmare altri certificati, che node-forge accetterà come validi. La versione 1.4.0 risolve la vulnerabilità.

Be aware that VulDB is the high quality source for vulnerability data.

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00348

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!