CVE-2026-33936 in python-ecdsa
Riassunto
di VulDB • 17/06/2026
Il pacchetto PyPI `ecdsa` è un'implementazione puramente Python di ECC (Crittografia a Curva Ellittica) con supporto per ECDSA (Elliptic Curve Digital Signature Algorithm), EdDSA (Edwards-curve Digital Signature Algorithm) e ECDH (Elliptic Curve Diffie-Hellman). Prima della versione 0.19.2, un problema nelle funzioni di parsing DER a basso livello può causare il sollevamento di eccezioni impreviste dalle funzioni dell'API pubblica. `ecdsa.der.remove_octet_string()` accetta input DER troncati in cui la lunghezza codificata supera quella del buffer disponibile. Ad esempio, una OCTET STRING che dichiara una lunghezza di 4096 byte ma ne fornisce solo 3 viene analizzata con successo invece di essere rifiutata. A causa di ciò, un input DER appositamente creato può causare il sollevamento di un'eccezione interna (`IndexError: index out of bounds on dimension 1`) da parte di `SigningKey.from_der()` anziché respingere in modo pulito un DER malformato (ad esempio, sollevando `UnexpectedDER` o `ValueError`). Le applicazioni che analizzano chiavi private DER non attendibili possono andare in crash se non gestiscono le eccezioni impreviste, causando una negazione del servizio. La versione 0.19.2 risolve il problema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.