Elliptic Package 6.5.6 auf Node.js ECDSA Signature schwache Authentisierung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.6 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in Elliptic Package 6.5.6 für Node.js ausgemacht. Hierbei geht es um eine nicht exakt ausgemachte Funktion der Komponente ECDSA Signature Handler. Die Veränderung resultiert in schwache Authentisierung. Diese Verwundbarkeit ist als CVE-2024-42461 gelistet. Es existiert kein Exploit. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Details
In Elliptic Package 6.5.6 auf Node.js wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Verarbeitung der Komponente ECDSA Signature Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-347. Auswirken tut sich dies auf die Integrität. Die Zusammenfassung von CVE lautet:
In the Elliptic package 6.5.6 for Node.js, ECDSA signature malleability occurs because BER-encoded signatures are allowed.Das Advisory findet sich auf github.com. Die Verwundbarkeit wird seit dem 02.08.2024 als CVE-2024-42461 geführt. Sie gilt als schwierig ausnutzbar. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Dieser kann von github.com bezogen werden.
Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.7VulDB Meta Temp Score: 5.6
VulDB Base Score: 2.6
VulDB Temp Score: 2.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.1
NVD Vector: 🔍
CNA Base Score: 5.3
CNA Vector (MITRE): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-347 / CWE-345
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: github.com
Timeline
02.08.2024 🔍02.08.2024 🔍
02.08.2024 🔍
17.08.2024 🔍
Quellen
Advisory: github.comStatus: Bestätigt
CVE: CVE-2024-42461 (🔍)
GCVE (CVE): GCVE-0-2024-42461
GCVE (VulDB): GCVE-100-273487
Eintrag
Erstellt: 02.08.2024 09:40Aktualisierung: 17.08.2024 11:48
Anpassungen: 02.08.2024 09:40 (55), 02.08.2024 13:38 (1), 17.08.2024 11:48 (22)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
elliptic_project:elliptic
You could also kindly check for the following:
CVE-2024-42459
CVE-2024-42460
Want to stay up to date on a daily basis?
Enable the mail alert feature now!