node-forge 1.4.0 修复高危 DoS 漏洞：BigInteger.modInverse() 无限循环可致 CPU 100% 耗尽

开源加密库 node-forge 于 2026 年 3 月 24 日发布 1.4.0 版本，紧急修复一个高危拒绝服务（DoS）漏洞。该漏洞位于 BigInteger.modInverse() 函数中，当传入零值作为输入时，内部扩展欧几里得算法会进入不可达的退出条件，导致进程无限挂起并持续占用 100% CPU。漏洞由研究人员 Kr0emer 报告，已分配编号 CVE-2026-33891 和 GHSA ID。

node-forge 是 JavaScript 生态中广泛使用的加密工具库，被大量 Web 应用和框架依赖。本次修复直接影响 /zeppelin-web-angular 等依赖该库的项目。漏洞触发条件简单——只需向 modInverse() 传递零值即可造成拒绝服务，攻击者可能通过构造恶意输入，使服务端或客户端进程陷入死循环，导致资源耗尽。

对于使用 node-forge 1.3.2 及更早版本的项目，应立即升级至 1.4.0 以消除风险。该漏洞属于典型的算法实现缺陷，而非协议层问题，但影响面广，修复优先级高。建议安全团队排查内部依赖树，确保所有引用 node-forge 的组件均已更新。