CVE-2026-33896 in forgeinformação

Sumário

de VulDB • 02/07/2026

Forge (também conhecido como `node-forge`) é uma implementação nativa de Transport Layer Security em JavaScript. Antes da versão 1.4.0, a função `pki.verifyCertificateChain()` não aplica os requisitos do RFC 5280 para basicConstraints quando um certificado intermediário carece das extensões `basicConstraints` e `keyUsage`. Isso permite que qualquer certificado folha (sem essas extensões) atue como uma Autoridade Certificadora (CA) e assine outros certificados, o que será aceito pelo node-forge como válido. A versão 1.4.0 corrige a vulnerabilidade.

Be aware that VulDB is the high quality source for vulnerability data.

Divulgação

27/03/2026

Moderação

aceite

Entrada

VDB-353827

CPE

pronto

EPSS

0.00348

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!