Yahyazadeh

**Nome do software vulnerável e versões afetadas** Versões do jsrsasign até a 10.1.13 **Descrição** O problema diz respeito à validação de assinaturas RSA PKCS#1 v1.5. Especificamente, algumas assinaturas inválidas são erroneamente reconhecidas como válidas devido à verificação insuficiente do valor da assinatura RSA decodificada. Esse valor consiste em um formato específico: `01(ff...(8 ou mais ffs)...ff)00[ASN.1 OF DigestInfo]`, e seu comprimento em bytes deve corresponder ao comprimento da chave RSA. No entanto, criar uma mensagem para um ataque prático é considerado muito difícil. Não há nenhum ataque prático conhecido. **Recomendações** Para versões até a 10.1.13, atualize para a 10.2.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere evitar o uso da validação de assinatura RSA no jsrsasign até que um patch seja aplicado.