PuTTY 0.83 Ed25519 Signature crypto/ecc-ssh.c eddsa_verify xác thực yếu ⚔ [Gây tranh cãi]
Tóm tắt
Lỗ hổng thuộc loại Có vấn đề đã được tìm thấy trong PuTTY 0.83. Bị ảnh hưởng là hàm eddsa_verify của tệp crypto/ecc-ssh.c của thành phần Ed25519 Signature Handler. Việc xử lý có thể dẫn đến xác thực yếu.
Lỗ hổng này có mã CVE-2026-4115. Tấn công có thể được khởi tạo từ xa. Bên cạnh đó, mã khai thác đã được phát hành.
Lỗ hổng này hiện vẫn chưa được xác nhận là thực sự tồn tại.
Đề xuất cài đặt bản vá để sửa lỗi này.
Chi tiết
Lỗ hổng thuộc loại Có vấn đề đã được tìm thấy trong PuTTY 0.83. Bị ảnh hưởng là hàm eddsa_verify của tệp crypto/ecc-ssh.c của thành phần Ed25519 Signature Handler. Việc xử lý có thể dẫn đến xác thực yếu. Sử dụng CWE để xác định vấn đề sẽ dẫn đến CWE-347. Thông tin về điểm yếu đã được công bố. Thông báo này có thể được tải về tại github.com.
Lỗ hổng này có mã CVE-2026-4115. Tấn công có thể được khởi tạo từ xa. Thông tin kỹ thuật đã có sẵn. Tấn công yêu cầu độ phức tạp cao. Khả năng khai thác được cho là khó khăn. Lỗ hổng này có mức độ phổ biến thấp hơn trung bình. Bên cạnh đó, mã khai thác đã được phát hành. Thông tin về khai thác đã được công bố rộng rãi và có khả năng bị lợi dụng. Hiện tại, giá cho một khai thác có thể vào khoảng USD $0-$5k.
Nếu có độ dài, thì nó được khai báo là bằng chứng khái niệm. Khai thác này được chia sẻ để tải xuống tại github.com. Lỗ hổng này hiện vẫn chưa được xác nhận là thực sự tồn tại. Công cụ quét lỗ hổng Nessus có một plugin với mã số 303305.
Tên của bản vá là af996b5ec27ab79bae3882071b9d6acf16044549. Bản cập nhật đã sẵn sàng tại git.tartarus.org. Đề xuất cài đặt bản vá để sửa lỗi này.
Lỗ hổng này còn được ghi nhận ở các cơ sở dữ liệu lỗ hổng khác: Tenable (303305).
Sản phẩm
Loại
Tên
Phiên bản
Giấy phép
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Độ tin cậy: 🔍
CVSSv3
VulDB Điểm cơ sở meta: 3.7VulDB Điểm tạm thời meta: 3.4
VulDB Điểm cơ sở: 3.7
VulDB Điểm tạm thời: 3.4
VulDB Vector: 🔒
VulDB Độ tin cậy: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Véc-tơ | Độ phức tạp | Xác thực | Bí mật | Toàn vẹn | Khả dụng |
|---|---|---|---|---|---|
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
VulDB Điểm cơ sở: 🔒
VulDB Điểm tạm thời: 🔒
VulDB Độ tin cậy: 🔍
Khai thác
Lớp: Xác thực yếuCWE: CWE-347 / CWE-345
CAPEC: 🔒
ATT&CK: 🔒
Vật lý: Không
Cục bộ: Không
Từ xa: Có
Khả dụng: 🔒
Truy cập: Công khai
Trạng thái: Bằng chứng khái niệm
Ngôn ngữ lập trình: 🔒
Tải xuống: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔒
| 0-Day | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
|---|---|---|---|---|
| Hôm nay | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
Nessus ID: 303305
Nessus Tên: Linux Distros Unpatched Vulnerability : CVE-2026-4115
Tình báo mối đe dọa
Sự quan tâm: 🔍Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍
Biện pháp đối phó
Khuyến nghị: Bản váTrạng thái: 🔍
Thời gian 0-ngày: 🔒
Bản vá: af996b5ec27ab79bae3882071b9d6acf16044549
dòng thời gian
22/03/2026 Khuyến cáo đã công bố22/03/2026 Mục VulDB đã được tạo
23/03/2026 Cập nhật lần cuối VulDB
Nguồn
Khuyến cáo: github.comTrạng thái: Đã xác nhận
Xác nhận: 🔒
Gây tranh cãi: 🔍
CVE: CVE-2026-4115 (🔒)
GCVE (CVE): GCVE-0-2026-4115
GCVE (VulDB): GCVE-100-352429
EUVD: 🔒
CNNVD: CNNVD-202603-4155 - PuTTY 数据伪造问题漏洞
scip Labs: https://www.scip.ch/en/?labs.20161013
Khác: 🔒
mục
Được tạo: 22/03/2026 12:53Đã cập nhật: 23/03/2026 17:29
Thay đổi: 22/03/2026 12:53 (63), 22/03/2026 12:54 (1), 22/03/2026 15:36 (1), 23/03/2026 05:12 (2), 23/03/2026 17:29 (6)
Hoàn chỉnh: 🔍
Người gửi: pythok
Cache ID: 216::103
Gửi
được chấp nhận
- Gửi #775576: PuTTY Project (Simon Tatham) PuTTY 0.83 Improper Verification of Cryptographic Signature (Bởi pythok)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Chưa có bình luận nào Ngôn ngữ: vi + km + en.
Vui lòng đăng nhập để bình luận