CVE-2026-33936 in python-ecdsa
الملخص
بحسب VulDB • 10/05/2026
تُعد حزمة `ecdsa` على PyPI تنفيذًا خالصًا بلغة Python لتشفير المنحنيات الإهليلجية (ECC) مع دعم خوارزمية التوقيع الرقمي للمنحنيات الإهليلجية (ECDSA)، وخوارزمية التوقيع الرقمي لمنحنيات إدواردز (EdDSA)، وبروتوكول تبادل المفاتيح Diffie-Hellman للمنحنيات الإهليلجية (ECDH). قبل الإصدار 0.19.2، كان هناك خلل في دوال تحليل DER منخفضة المستوى يمكن أن يتسبب في رفع استثناءات غير متوقعة من دوال واجهة برمجة التطبيقات العامة (Public API). تقبل الدالة `ecdsa.der.remove_octet_string()` بيانات DER مقطوعة حيث يتجاوز الطول المشفر حجم المخزن المؤقت المتاح. على سبيل المثال، يتم تحليل سلسلة OCTET STRING التي تعلن عن طول 4096 بايت ولكن توفر 3 بايتات فقط بنجاح بدلاً من رفضها. ونتيجة لذلك، يمكن لإدخال DER مُصاغ بعناية أن يتسبب في رفع استثناء داخلي (`IndexError: index out of bounds on dimension 1`) من قبل `SigningKey.from_der()` بدلاً من رفض بيانات DER غير الصالحة بشكل نظيف (مثل رفع `UnexpectedDER` أو `ValueError`). قد تتعطل التطبيقات التي تقوم بتحليل مفاتيح خاصة DER غير الموثوقة إذا لم تتعامل مع الاستثناءات غير المتوقعة، مما يؤدي إلى حدوث حجب للخدمة (Denial of Service). يقوم الإصدار 0.19.2 بإصلاح هذا الخلل.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.