PuTTY 0.83 Ed25519 Signature crypto/ecc-ssh.c eddsa_verify 弱身份验证 ⚔ [有争议]
摘要
分类为棘手的漏洞已在PuTTY 0.83中发现。 相关的是 eddsa_verify函数,在crypto/ecc-ssh.c文件中,在Ed25519 Signature Handler组件中。 手动调试的不合法输入可导致 弱身份验证。
该漏洞的交易名称为CVE-2026-4115, 可以发起远程攻击, 另外,有可用的漏洞利用。
目前,此漏洞是否真实存在尚存疑惑。
建议采用一个补丁来修正此问题。
细节
分类为棘手的漏洞已在PuTTY 0.83中发现。 相关的是 eddsa_verify函数,在crypto/ecc-ssh.c文件中,在Ed25519 Signature Handler组件中。 手动调试的不合法输入可导致 弱身份验证。 采用 CWE 描述该问题会链接到 CWE-347。 此漏洞的脆弱性所提交。 该安全通告已在 github.com 提供下载。
该漏洞的交易名称为CVE-2026-4115, 可以发起远程攻击, 技术详情可用。 攻击复杂性相当高。 据报告该漏洞的可利用性较低。 该漏洞的知名度低于平均水平, 另外,有可用的漏洞利用。 该漏洞的利用方式已向公众披露,存在被利用的风险。 现在,可能约为美元 $0-$5k。
它被宣布为概念验证。 可以在github.com下载该漏洞利用。 目前,此漏洞是否真实存在尚存疑惑。 漏洞扫描器Nessus提供了一个插件,插件ID为303305 (Linux Distros Unpatched Vulnerability : CVE-2026-4115)有助于判断目标环境中是否存在缺陷。
补丁的名称是af996b5ec27ab79bae3882071b9d6acf16044549。 您可以在git.tartarus.org下载该漏洞修复补丁。 建议采用一个补丁来修正此问题。
此安全漏洞也被其他漏洞数据库收录:Tenable (303305)。
产品
类型
名称
版本
许可证
CPE 2.3
CPE 2.2
CVSSv4
VulDB 向量: 🔒VulDB 可靠性: 🔍
CVSSv3
VulDB 元基础分数: 3.7VulDB 元临时分数: 3.4
VulDB 基本分数: 3.7
VulDB 临时得分: 3.4
VulDB 向量: 🔒
VulDB 可靠性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 向量 | 复杂性 | 身份验证 | 保密 | 完整性 | 可用性 |
|---|---|---|---|---|---|
| 开锁 | 开锁 | 开锁 | 开锁 | 开锁 | 开锁 |
| 开锁 | 开锁 | 开锁 | 开锁 | 开锁 | 开锁 |
| 开锁 | 开锁 | 开锁 | 开锁 | 开锁 | 开锁 |
VulDB 基本分数: 🔒
VulDB 临时得分: 🔒
VulDB 可靠性: 🔍
利用
分类: 弱身份验证CWE: CWE-347 / CWE-345
CAPEC: 🔒
ATT&CK: 🔒
身体的: 否
本地: 否
远程: 是
可用性: 🔒
访问: 公共
状态: 概念验证
编程语言: 🔒
下载: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
价格预测: 🔍
当前价格估算: 🔒
| 0-Day | 开锁 | 开锁 | 开锁 | 开锁 |
|---|---|---|---|---|
| 今天 | 开锁 | 开锁 | 开锁 | 开锁 |
Nessus ID: 303305
Nessus 名称: Linux Distros Unpatched Vulnerability : CVE-2026-4115
威胁情报
利益: 🔍活跃演员: 🔍
活跃的APT团体: 🔍
对策
建议: 补丁状态: 🔍
0天时间: 🔒
补丁: af996b5ec27ab79bae3882071b9d6acf16044549
时间轴
2026-03-22 公告已发布2026-03-22 已创建 VulDB 条目
2026-03-23 VulDB 上次更新
来源
公告: github.com状态: 已确认
确认: 🔒
有争议: 🔍
CVE: CVE-2026-4115 (🔒)
GCVE (CVE): GCVE-0-2026-4115
GCVE (VulDB): GCVE-100-352429
EUVD: 🔒
CNNVD: CNNVD-202603-4155 - PuTTY 数据伪造问题漏洞
scip Labs: https://www.scip.ch/en/?labs.20161013
其他: 🔒
条目
已创建: 2026-03-22 12時53分已更新: 2026-03-23 17時29分
更改: 2026-03-22 12時53分 (63), 2026-03-22 12時54分 (1), 2026-03-22 15時36分 (1), 2026-03-23 05時12分 (2), 2026-03-23 17時29分 (6)
完整: 🔍
提交者: pythok
Cache ID: 216::103
提交
已接受
- 提交 #775576: PuTTY Project (Simon Tatham) PuTTY 0.83 Improper Verification of Cryptographic Signature (由 pythok)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
暂时没有任何评论。 语言: zh + en.
请登录后发表评论。