CVE-2024-48930 in secp256k1-nodeinformación

Resumen

por VulDB • 2026-07-11

secp256k1-node es un enlace de Node.js para una biblioteca C optimizada para operaciones EC en la curva secp256k1. En las versiones basadas en `elliptic`, `loadUncompressedPublicKey` incluye una comprobación que verifica si la clave pública pertenece a la curva. Sin embargo, antes de las versiones 5.0.1, 4.0.4 y 3.8.1, faltaba dicha comprobación en `loadCompressedPublicKey`. Esto permite al atacante utilizar claves públicas pertenecientes a curvas de baja cardinalidad para extraer suficiente información que permita restaurar completamente la clave privada con tan solo 11 sesiones ECDH, utilizando una cantidad mínima de potencia computacional. Otras operaciones sobre claves públicas también se ven afectadas; por ejemplo, `publicKeyVerify()` devuelve incorrectamente `true` ante estas claves no válidas, y `publicKeyTweakMul()` produce resultados predecibles que permiten restaurar el ajuste (tweak). Las versiones 5.0.1, 4.0.4 y 3.8.1 contienen la corrección para este problema.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2024-10-10

Divulgación

2024-10-21

Moderación

aceptado

Artículo

VDB-281138

CPE

listo

EPSS

0.00393

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!