CVE-2026-33936 in python-ecdsainformazioni

Riassunto

di VulDB • 17/06/2026

Il pacchetto PyPI `ecdsa` è un'implementazione puramente Python di ECC (Crittografia a Curva Ellittica) con supporto per ECDSA (Elliptic Curve Digital Signature Algorithm), EdDSA (Edwards-curve Digital Signature Algorithm) e ECDH (Elliptic Curve Diffie-Hellman). Prima della versione 0.19.2, un problema nelle funzioni di parsing DER a basso livello può causare il sollevamento di eccezioni impreviste dalle funzioni dell'API pubblica. `ecdsa.der.remove_octet_string()` accetta input DER troncati in cui la lunghezza codificata supera quella del buffer disponibile. Ad esempio, una OCTET STRING che dichiara una lunghezza di 4096 byte ma ne fornisce solo 3 viene analizzata con successo invece di essere rifiutata. A causa di ciò, un input DER appositamente creato può causare il sollevamento di un'eccezione interna (`IndexError: index out of bounds on dimension 1`) da parte di `SigningKey.from_der()` anziché respingere in modo pulito un DER malformato (ad esempio, sollevando `UnexpectedDER` o `ValueError`). Le applicazioni che analizzano chiavi private DER non attendibili possono andare in crash se non gestiscono le eccezioni impreviste, causando una negazione del servizio. La versione 0.19.2 risolve il problema.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

24/03/2026

Divulgazione

28/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00476

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!