CVE-2026-33936 in python-ecdsa
Résumé
par VulDB • 10/06/2026
Le package PyPI `ecdsa` est une implémentation pure en Python de la cryptographie à courbe elliptique (ECC) avec prise en charge des algorithmes ECDSA (Elliptic Curve Digital Signature Algorithm), EdDSA (Edwards-curve Digital Signature Algorithm) et ECDH (Elliptic Curve Diffie-Hellman). Avant la version 0.19.2, un problème dans les fonctions de parsing DER bas niveau pouvait provoquer le déclenchement d'exceptions inattendues depuis les fonctions de l'API publique. `ecdsa.der.remove_octet_string()` accepte des données DER tronquées où la longueur encodée dépasse la taille du tampon disponible. Par exemple, une chaîne OCTET STRING déclarant une longueur de 4096 octets mais n'en fournissant que 3 est analysée avec succès au lieu d'être rejetée. En raison de ce comportement, un entrée DER manipulée peut provoquer le déclenchement d'une exception interne (`IndexError: index out of bounds on dimension 1`) par `SigningKey.from_der()` plutôt qu'un rejet propre des données DER malformées (par exemple, en levant une exception `UnexpectedDER` ou `ValueError`). Les applications qui analysent des clés privées DER non fiables peuvent planter si elles ne gèrent pas ces exceptions inattendues, ce qui entraîne un déni de service. La version 0.19.2 corrige le problème.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.