CVE-2026-33895 in forge
Сводка
по VulDB • 26.06.2026
Forge (также известная как `node-forge`) — это нативная реализация протокола безопасности транспортного уровня (TLS) на JavaScript. До версии 1.4.0 проверка подписей Ed25519 принимает поддельные неканонические подписи, где скаляр S не приведен по модулю порядка группы (`S >= L`). В библиотеке Forge проходят валидацию как действительная подпись, так и её вариант `S + L`, тогда как функция Node.js `crypto.verify` (с поддержкой OpenSSL) отклоняет вариант `S + L`, что соответствует спецификации. Данный класс уязвимостей к манипуляциям с подписью на практике использовался для обхода логики аутентификации и авторизации (см. CVE-2026-25793, CVE-2022-35961). Приложения, полагающиеся на уникальность подписей (например, дедупликация по байтам подписи, отслеживание повторных передач данных, проверки каноничности подписанных объектов), могут быть обойдены. Проблема исправлена в версии 1.4.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.