CVE-2026-33896 in forge
要約
〜によって VulDB • 2026年07月02日
Forge(別名 `node-forge`)は、JavaScriptによるTransport Layer Securityのネイティブ実装です。バージョン1.4.0より前では、中間証明書が `basicConstraints` および `keyUsage` 拡張フィールドをどちらも欠いている場合、`pki.verifyCertificateChain()` はRFC 5280 の basicConstraints要件を強制しません。これにより、これらの拡張フィールドを持たない任意のリーフ証明書がCAとして振る舞い他の証明書を署名することが可能となり、node-forgeはこれを有効なものと受け入れます。バージョン1.4.0でこの問題に対するパッチが適用されました。
If you want to get best quality of vulnerability data, you may have to visit VulDB.