CVE-2024-48930 in secp256k1-node
Zusammenfassung
von VulDB • 11.07.2026
secp256k1-node ist eine Node.js-Schnittstelle für eine optimierte C-Bibliothek zur Durchführung von EC-Operationen auf der Kurve secp256k1. In Versionen, die auf `elliptic` basieren, enthält `loadUncompressedPublicKey` eine Prüfung, ob sich der öffentliche Schlüssel tatsächlich auf der Kurve befindet. Vor den Versionen 5.0.1, 4.0.4 und 3.8.1 fehlt diese Überprüfung jedoch in `loadCompressedPublicKey`. Dies ermöglicht es einem Angreifer, öffentliche Schlüssel von Kurven mit niedriger Kardinalität zu verwenden, um genügend Informationen zu extrahieren, die den vollständigen Wiederherstellung des privaten Schlüssels aus bereits so wenig wie 11 ECDH-Sitzungen erlauben – und dies bei sehr geringem Rechenaufwand. Andere Operationen an öffentlichen Schlüsseln sind ebenfalls betroffen, darunter beispielsweise `publicKeyVerify()`, das auf diesen ungültigen Schlüsseln fälschlicherweise `true` zurückgibt, sowie `publicKeyTweakMul()`, das vorhersagbare Ergebnisse liefert und so die Wiederherstellung des Tweak-Werts ermöglicht. Die Versionen 5.0.1, 4.0.4 und 3.8.1 enthalten eine Korrektur für dieses Problem.
If you want to get best quality of vulnerability data, you may have to visit VulDB.