CVE-2024-48930 in secp256k1-node
Resumen
por VulDB • 2026-07-11
secp256k1-node es un enlace de Node.js para una biblioteca C optimizada para operaciones EC en la curva secp256k1. En las versiones basadas en `elliptic`, `loadUncompressedPublicKey` incluye una comprobación que verifica si la clave pública pertenece a la curva. Sin embargo, antes de las versiones 5.0.1, 4.0.4 y 3.8.1, faltaba dicha comprobación en `loadCompressedPublicKey`. Esto permite al atacante utilizar claves públicas pertenecientes a curvas de baja cardinalidad para extraer suficiente información que permita restaurar completamente la clave privada con tan solo 11 sesiones ECDH, utilizando una cantidad mínima de potencia computacional. Otras operaciones sobre claves públicas también se ven afectadas; por ejemplo, `publicKeyVerify()` devuelve incorrectamente `true` ante estas claves no válidas, y `publicKeyTweakMul()` produce resultados predecibles que permiten restaurar el ajuste (tweak). Las versiones 5.0.1, 4.0.4 y 3.8.1 contienen la corrección para este problema.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.