PT-2024-33290 · Node.Js+2 · Elliptic+2

Publicado

2024-07-17

·

Atualizado

2026-01-22

·

CVE-2024-48949

CVSS v2.0

9.4

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do pacote Elliptic anteriores à 6.5.6
Descrição
O problema diz respeito ao pacote Elliptic para Node.js, especificamente à implementação EDDSA. Ele não realiza a verificação necessária para verificar se a(s) prova(s) de assinatura está(ão) dentro dos limites da ordem n do ponto base da curva elíptica, o que leva à maleabilidade da assinatura. A função verify em lib/elliptic/eddsa/index.js omite a validação sig.S().gte(sig.eddsa.curve.n) || sig.S().isNeg(). Isso pode ter um impacto relevante para a segurança se um aplicativo depender da exclusividade de uma assinatura.
Recomendações
Para versões do pacote Elliptic anteriores à 6.5.6, atualize para a versão 6.5.6 ou posterior para resolver o problema. Como solução temporária, considere desativar a função verify em lib/elliptic/eddsa/index.js até que um patch esteja disponível. Restrinja o uso da implementação EDDSA para minimizar o risco de exploração.

Correção

Improper Verification of Cryptographic Signature

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-347

Identificadores relacionados

AZL-50322
BDU:2025-14658
CVE-2024-48949
GHSA-434G-2637-QMQR
MGASA-2025-0194
OPENSUSE-SU-2024:14403-1
OPENSUSE-SU-2024_3771-1
OPENSUSE-SU-2025:14663-1
RHSA-2024:8351
RHSA-2024:8507
SUSE-SU-2024:3771-1
SUSE-SU-2025:3744-1

Produtos afetados

Debian
Elliptic
Suse