anonhaven

CVE-2026-33891

HIGH CVSS 3.1: 7,5 EPSS 0.05%
Обновлено 30 марта 2026
Forge
Параметр Значение
CVSS 7,5 (HIGH)
Тип уязвимости CWE-835
Поставщик Forge
Публичный эксплойт Нет

Forge (также называемый node-forge) — это собственная реализация безопасности транспортного уровня в JavaScript. До версии 1.4.0 в библиотеке node-forge существовала уязвимость типа «отказ в обслуживании» (DoS) из-за бесконечного цикла в функции BigInteger.modInverse() (унаследованной из встроенной библиотеки jsbn). Когда modInverse() вызывается с нулевым значением на входе, внутренний расширенный алгоритм Евклида вводит недостижимое условие выхода, в результате чего процесс зависает на неопределенный срок и потребляет 100% ресурсов ЦП.

Версия 1.4.0 исправляет проблему.

Показать оригинальное описание (EN)

Forge (also called `node-forge`) is a native implementation of Transport Layer Security in JavaScript. Prior to version 1.4.0, a Denial of Service (DoS) vulnerability exists in the node-forge library due to an infinite loop in the BigInteger.modInverse() function (inherited from the bundled jsbn library). When modInverse() is called with a zero value as input, the internal Extended Euclidean Algorithm enters an unreachable exit condition, causing the process to hang indefinitely and consume 100% CPU. Version 1.4.0 patches the issue.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-835

Ссылки 2

https://github.com/digitalbazaar/forge/commit/9bb8d67b99d17e4ebb5fd7596cd699e11…
security-advisories@github.com
https://github.com/digitalbazaar/forge/security/advisories/GHSA-5m6q-g25r-mvwx
security-advisories@github.com
Share Post Share Share Share