VDB-317971 · CVE-2025-54426 · GHSA-v4q3-23rh-w5mw

polkadot-evm frontier Curve25519Add/Curve25519ScalarMul schwache Verschlüsselung

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
3.6	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine problematische Schwachstelle in polkadot-evm frontier ausgemacht. Dies betrifft die Funktion Curve25519Add/Curve25519ScalarMul. Durch Manipulation mit unbekannten Daten kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle findet als CVE-2025-54426 statt. Der Angriff kann über das Netzwerk erfolgen. Es steht kein Exploit zur Verfügung. Es wird geraten, einen Patch zu installieren, um dieses Problem zu lösen.

Detailsinfo

In polkadot-evm frontier - die betroffene Version ist nicht bekannt - wurde eine problematische Schwachstelle entdeckt. Das betrifft die Funktion Curve25519Add/Curve25519ScalarMul. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-327. Die Auswirkungen sind bekannt für die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

Polkadot Frontier is an Ethereum and EVM compatibility layer for Polkadot and Substrate. In versions prior to commit 36f70d1, the Curve25519Add and Curve25519ScalarMul precompiles incorrectly handle invalid Ristretto point representations. Instead of returning an error, they silently treat invalid input bytes as the Ristretto identity element, leading to potentially incorrect cryptographic results. This is fixed in commit 36f70d1.

Das Advisory findet sich auf github.com. Die Verwundbarkeit wird seit dem 22.07.2025 als CVE-2025-54426 geführt. Sie gilt als schwierig ausnutzbar. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1600 bezeichnet.

Die Schwachstelle lässt sich durch das Einspielen des Patches 36f70d1defcaeaed5a453015f6c98c21bb5b121b lösen. Dieser kann von github.com bezogen werden.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Produktinfo

Hersteller

polkadot-evm

Name

frontier

Lizenz

Open-Source

Webseite

Produkt: https://github.com/polkadot-evm/frontier/

CPE 2.3info

🔒

CPE 2.2info

🔒

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3info

VulDB Meta Base Score: 3.7
VulDB Meta Temp Score: 3.6

VulDB Base Score: 3.7
VulDB Temp Score: 3.6
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Schwache Verschlüsselung
CWE: CWE-327 / CWE-310
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔒

Patch: 36f70d1defcaeaed5a453015f6c98c21bb5b121b

Timelineinfo

22.07.2025 CVE zugewiesen
29.07.2025 +7 Tage Advisory veröffentlicht
29.07.2025 +0 Tage VulDB Eintrag erstellt
29.07.2025 +0 Tage VulDB Eintrag letzte Aktualisierung