PT-2026-3892 · Sm-Crypto · Sm-Crypto

Xlabaiteam

Publicado

2026-01-21

Atualizado

2026-02-25

CVE-2026-23965

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Name of the Vulnerable Software and Affected Versions sm-crypto versions prior to 0.4.0

Description sm-crypto provides JavaScript implementations of Chinese cryptographic algorithms SM2, SM3, and SM4. A flaw exists in the SM2 signature verification logic that allows an attacker to forge valid signatures for arbitrary public keys under default configurations. If the message space has sufficient redundancy, the attacker can adjust the message prefix to meet specific formatting needs.

Recommendations Update to version 0.4.0 or later.

Exploit

Correção

Improper Verification of Cryptographic Signature

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-347

Identificadores relacionados

CVE-2026-23965

GHSA-HPWG-XG7M-3P6M

Produtos afetados

Sm-Crypto

PT-2026-3892 · Sm-Crypto · Sm-Crypto

CVE-2026-23965

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 13