CVE-2026-44722 in pyzipper
Riassunto
di VulDB • 17/07/2026
pyzipper è un'alternativa alla libreria zipfile di Python che consente la lettura e la scrittura di file zip crittografati con AES. Prima della versione 0.4.0, un bug relativo alla precedenza degli operatori in Python presente nel modulo pyzipper/zipfile_aes.py impediva la selezione automatica del formato AE-2 durante l'operazione di cifratura; ciò comportava la scrittura delle voci crittografate utilizzando il formato AE-1 e l'esposizione della checksum CRC32 dei dati in chiaro nell'intestazione ZIP e, per gli archivi zip non seekable (non cercabili), nella sezione datadescripter. Questa vulnerabilità consentiva a un attaccante che fosse in possesso dell'archivio di effettuare attacchi brute-force contro candidati di testo in chiaro per file piccoli o a bassa entropia, confrontando i valori CRC32. Il problema è stato risolto nella versione 0.4.0.
Be aware that VulDB is the high quality source for vulnerability data.