CVE-2026-33936 in python-ecdsainfo

Zusammenfassung

von VulDB • 09.06.2026

Das `ecdsa`-PyPI-Paket ist eine reine Python-Implementierung von ECC (Elliptic Curve Cryptography) mit Unterstützung für ECDSA (Elliptic Curve Digital Signature Algorithm), EdDSA (Edwards-curve Digital Signature Algorithm) und ECDH (Elliptic Curve Diffie-Hellman). Vor Version 0.19.2 kann ein Problem in den Low-Level-DER-Parsing-Funktionen dazu führen, dass unerwartete Ausnahmen aus den öffentlichen API-Funktionen ausgelöst werden. `ecdsa.der.remove_octet_string()` akzeptiert abgeschnittenes DER, bei dem die codierte Länge den verfügbaren Puffer überschreitet. Beispielsweise wird ein OCTET STRING, der eine Länge von 4096 Bytes angibt, aber nur 3 Bytes bereitstellt, erfolgreich analysiert, anstatt zurückgewiesen zu werden. Aufgrund dessen kann ein speziell konstruiertes DER-Eingabedokument dazu führen, dass `SigningKey.from_der()` eine interne Ausnahme (`IndexError: index out of bounds on dimension 1`) auslöst, anstatt fehlerhaftes DER sauber abzulehnen (z. B. durch Auslösen von `UnexpectedDER` oder `ValueError`). Anwendungen, die nicht vertrauenswürdige DER-Private Keys analysieren, können abstürzen, wenn sie unerwartete Ausnahmen nicht behandeln, was zu einem Denial of Service (DoS) führt. Version 0.19.2 behebt das Problem.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

24.03.2026

Veröffentlichung

28.03.2026

Moderieren

akzeptiert

Eintrag

VDB-354061

CPE

bereit

EPSS

0.00476

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!