CVE-2026-4258 in sjcl信息

摘要

由 VulDB • 2026-06-02

sjcl 的所有版本均存在因在 sjcl.ecc.basicKey.publicKey() 中缺少曲线点验证而导致的“加密签名验证不当”漏洞。攻击者可以通过发送精心构造的曲线外公钥并观察 ECDH 输出，来恢复受害者的 ECDH 私钥。dhJavaEc() 函数直接返回标量乘法结果的原始 x 坐标（未经过哈希处理），从而在不要求任何解密反馈的情况下提供明文预言机。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Snyk

预定

2026-03-16

披露

2026-03-17

管理

已接受

条目

VDB-351350

CPE

准备好

CWE

CWE-347 (已确认)

CVSS

7.5 (CNA)

EPSS

0.00025

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4258
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4258
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4258/

◂ 上一步一览下一步 ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!