PT-2024-3052 · Pypi+8 · Cryptography+8

Alexander-Programming

·

Publicado

2024-02-21

·

Atualizado

2026-06-03

·

CVE-2024-26130

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do pacote cryptography de 38.0.0 a 42.0.3
Descrição
O problema está relacionado à função pkcs12.serialize key and certificates do pacote cryptography para Python. Se essa função for chamada com um certificado cuja chave pública não corresponda à chave privada fornecida e um encryption algorithm com hmac hash definido, ocorre uma desreferência de ponteiro NULL, causando a falha do processo Python. Esse problema foi resolvido com a geração adequada de um ValueError na versão corrigida.
Recomendações
Para as versões 38.0.0 a 42.0.3 do pacote cryptography, atualize para a versão 42.0.4 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de pkcs12.serialize key and certificates com chaves públicas e privadas incompatíveis e hmac hash definido até que a atualização seja aplicada.

Exploit

Correção

DoS

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476

Identificadores relacionados

ALSA-2025:15608
ALSA-2025_15608
ALT-PU-2024-2757
ALT-PU-2025-4222
BDU:2024-03237
CVE-2024-26130
GHSA-6VQW-3V5J-54X4
INFSA-2025_15608
MGASA-2025-0069
OPENSUSE-SU-2024:13710-1
OPENSUSE-SU-2024_0763-1
OPENSUSE-SU-2024_2138-1
PYSEC-2024-225
RHSA-2024:3781
RHSA-2024:7987
RHSA-2025:1335
RHSA-2025:15608
RHSA-2025_15608
SUSE-SU-2024:0763-1
SUSE-SU-2024:2138-1
USN-6673-1
USN-6673-3

Produtos afetados

Alt Linux
Almalinux
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Cryptography