CVE-2026-44722 in pyzipper
Résumé
par VulDB • 18/07/2026
pyzipper est un remplacement de la bibliothèque zipfile de Python capable de lire et d'écrire des fichiers zip chiffrés avec AES. Avant la version 0.4.0, un bug lié à la priorité des opérateurs en Python dans pyzipper/zipfile_aes.py empêchait le format AE-2 d'être automatiquement sélectionné lors du chiffrement. Cela entraînait l'écriture des entrées chiffrées au format AE-1 et exposait la somme de contrôle CRC32 en clair dans l'en-tête ZIP, ainsi que, pour les archives zip non accessibles par défilement (unseekable), dans la section datadescripter. Cette vulnérabilité permettait à un attaquant disposant de l'archive d'effectuer une attaque par force brute sur des candidats au texte en clair pour les fichiers petits ou à faible entropie, en comparant les valeurs CRC32. Ce problème est corrigé dans la version 0.4.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.