4 vulnérabilités HIGH dans Node-Forge
4 vulnérabilités dans node-forge (<1.4.0) permettent DoS, falsification RSA/Ed25519 et contournement de certificats. Mettez à jour vers 1.4.0.
Publié le par Emmanuel LASTRA 1 min de lecture
Quatre nouvelles vulnérabilités classées High (CVSS ~7.5) (CVE-2026-33891, CVE-2026-33894, CVE-2026-33895, CVE-2026-33896) affectent les versions < 1.4.0 de node-forge, une bibliothèque JavaScript largement utilisée pour les opérations cryptographiques (TLS, certificats, signatures).
[CVE-2026-33891] (https://www.cve.org/CVERecord?id=CVE-2026-33891) - Déni de service (DoS) Une boucle infinie dans BigInteger.modInverse() permet de bloquer un processus avec une entrée invalide (0), entraînant une consommation CPU à 100%.
[CVE-2026-33894] (https://www.cve.org/CVERecord?id=CVE-2026-33894) - Falsification de signature RSA La vérification RSA (PKCS#1 v1.5) accepte des signatures forgées via manipulation ASN.1, notamment avec des clés faibles (e=3) permettant de contourner la validation.
[CVE-2026-33895] (https://www.cve.org/CVERecord?id=CVE-2026-33895) - Falsification de signature Ed25519 Des signatures non canoniques sont acceptées en raison d’un contrôle incomplet (S < L).
[CVE-2026-33896] (https://www.cve.org/CVERecord?id=CVE-2026-33896) - Bypass de validation de certificats La vérification de chaîne de certificats ne respecte pas correctement les contraintes basicConstraints. Un certificat peut être accepté comme autorité de certification (CA).
Il est fortement recommandé de mettre à jour vers la version 1.4.0 de node-forge, qui corrige ces vulnérabilités.