CVE-2026-4603
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 - wyżej niż 1% wszystkich znanych CVE
Streszczenie
Wersje pakietu jsrsasign przed 11.1.1 są podatne na błąd dzielenia przez zero, co może prowadzić do nieprawidłowego działania operacji z kluczem publicznym RSA. Atakujący może wymusić, aby operacje te zwracały z góry określone zera, ukrywając błędy związane z 'nieprawidłowym kluczem'.
Ocena ryzyka
Organizacja może być narażona na ataki, które wykorzystują tę podatność do oszustwa w operacjach kryptograficznych, co może prowadzić do utraty integralności danych i zaufania do systemu.
Rekomendacja
Zaleca się aktualizację pakietu jsrsasign do wersji 11.1.1 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Versions of the package jsrsasign before 11.1.1 are vulnerable to Division by zero due to the RSASetPublic/KEYUTIL parsing path in ext/rsa.js and the BigInteger.modPowInt reduction logic in ext/jsbn.js. An attacker can force RSA public-key operations (e.g., verify and encryption) to collapse to deterministic zero outputs and hide “invalid key” errors by supplying a JWK whose modulus decodes to zero.

