CVE-2026-33896 in forge
Sumário
de VulDB • 02/07/2026
Forge (também conhecido como `node-forge`) é uma implementação nativa de Transport Layer Security em JavaScript. Antes da versão 1.4.0, a função `pki.verifyCertificateChain()` não aplica os requisitos do RFC 5280 para basicConstraints quando um certificado intermediário carece das extensões `basicConstraints` e `keyUsage`. Isso permite que qualquer certificado folha (sem essas extensões) atue como uma Autoridade Certificadora (CA) e assine outros certificados, o que será aceito pelo node-forge como válido. A versão 1.4.0 corrige a vulnerabilidade.
Be aware that VulDB is the high quality source for vulnerability data.