CVE-2024-48930 in secp256k1-nodeinfo

Zusammenfassung

von VulDB • 11.07.2026

secp256k1-node ist eine Node.js-Schnittstelle für eine optimierte C-Bibliothek zur Durchführung von EC-Operationen auf der Kurve secp256k1. In Versionen, die auf `elliptic` basieren, enthält `loadUncompressedPublicKey` eine Prüfung, ob sich der öffentliche Schlüssel tatsächlich auf der Kurve befindet. Vor den Versionen 5.0.1, 4.0.4 und 3.8.1 fehlt diese Überprüfung jedoch in `loadCompressedPublicKey`. Dies ermöglicht es einem Angreifer, öffentliche Schlüssel von Kurven mit niedriger Kardinalität zu verwenden, um genügend Informationen zu extrahieren, die den vollständigen Wiederherstellung des privaten Schlüssels aus bereits so wenig wie 11 ECDH-Sitzungen erlauben – und dies bei sehr geringem Rechenaufwand. Andere Operationen an öffentlichen Schlüsseln sind ebenfalls betroffen, darunter beispielsweise `publicKeyVerify()`, das auf diesen ungültigen Schlüsseln fälschlicherweise `true` zurückgibt, sowie `publicKeyTweakMul()`, das vorhersagbare Ergebnisse liefert und so die Wiederherstellung des Tweak-Werts ermöglicht. Die Versionen 5.0.1, 4.0.4 und 3.8.1 enthalten eine Korrektur für dieses Problem.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

10.10.2024

Veröffentlichung

21.10.2024

Moderieren

akzeptiert

Eintrag

VDB-281138

CPE

bereit

EPSS

0.00393

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!