PT-2025-48045 · Cggmp21+1 · Cggmp21+1
Publicado
2025-11-24
·
Atualizado
2025-12-01
·
CVE-2025-66017
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
cggmp21 versões 0.6.3 e anteriores
cggmp24 versão 0.7.0-alpha.1
Descrição
O software está suscetível a um problema de segurança relacionado ao uso de pré-assinaturas em contextos específicos. Especificamente, o uso de pré-assinaturas em conjunto com a derivação de carteira HD ou "assinatura bruta" pode reduzir significativamente a segurança ou levar à falsificação de assinatura. A função
Presignature::set derivation path foi identificada como um ponto de vulnerabilidade, permitindo ataques de maleabilidade que reduzem o nível de segurança para 85 bits. Além disso, a função Presignature::issue partial signature poderia ser explorada para forjar assinaturas ao assinar um hash sem conhecer a mensagem original. A API foi modificada em uma versão posterior para prevenir esses usos inseguros de pré-assinaturas.Recomendações
cggmp21 versões 0.6.3 e anteriores: Migre para uma versão corrigida que exclui o uso de pré-assinaturas em cenários vulneráveis, ou evite usar pré-assinaturas em contextos onde elas enfraquecem a segurança do sistema.
cggmp24 versão 0.7.0-alpha.1: Atualize para a versão 0.7.0-alpha.2 ou posterior e siga as diretrizes de migração para garantir o uso seguro.
Exploit
Correção
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cggmp21
Cggmp24