Katalog CVE

CVE-2026-4603

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.10%

Percentyl 1 - wyżej niż 1% wszystkich znanych CVE

Streszczenie

Wersje pakietu jsrsasign przed 11.1.1 są podatne na błąd dzielenia przez zero, co może prowadzić do nieprawidłowego działania operacji z kluczem publicznym RSA. Atakujący może wymusić, aby operacje te zwracały z góry określone zera, ukrywając błędy związane z 'nieprawidłowym kluczem'.

Ocena ryzyka

Organizacja może być narażona na ataki, które wykorzystują tę podatność do oszustwa w operacjach kryptograficznych, co może prowadzić do utraty integralności danych i zaufania do systemu.

Rekomendacja

Zaleca się aktualizację pakietu jsrsasign do wersji 11.1.1 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Versions of the package jsrsasign before 11.1.1 are vulnerable to Division by zero due to the RSASetPublic/KEYUTIL parsing path in ext/rsa.js and the BigInteger.modPowInt reduction logic in ext/jsbn.js. An attacker can force RSA public-key operations (e.g., verify and encryption) to collapse to deterministic zero outputs and hide “invalid key” errors by supplying a JWK whose modulus decodes to zero.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS