PT-2026-7473 · Unknown+4 · Cryptography+4

Xlabaiteam

·

Publicado

2026-02-10

·

Atualizado

2026-06-03

·

CVE-2026-26007

CVSS v4.0

8.2

Alta

VetorAV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Versões do cryptography anteriores a 46.0.5
Descrição As funções public key from numbers (ou EllipticCurvePublicNumbers.public key()), EllipticCurvePublicNumbers.public key(), load der public key() e load pem public key() não validam se o ponto de chave pública fornecido pertence ao subgrupo de ordem prima esperado da curva. Essa validação ausente permite que um invasor forneça um ponto de chave pública P de um subgrupo de ordem pequena, potencialmente levando a problemas de segurança na verificação de assinaturas (ECDSA) e na negociação de chaves compartilhadas (ECDH). Ao usar ECDH, a chave privada da vítima módulo a ordem do subgrupo pequeno pode ser vazada. Para curvas com cofator maior que 1, os bits menos significativos da chave privada são revelados. A exploração deste problema com chaves públicas fracas no ECDSA permite a falsificação de assinaturas no subgrupo pequeno. Este problema afeta apenas as curvas SECT.
Recomendações Atualize para a versão 46.0.5 ou posterior do cryptography.

Exploit

Correção

DoS

Insufficient Verification of Data Authenticity

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345

Identificadores relacionados

ALSA-2026:12176
AZL-77447
AZL-77454
CVE-2026-26007
ECHO-9290-B93D-4581
GHSA-R6PH-V2QM-Q3C2
OESA-2026-1669
OESA-2026-1670
OESA-2026-1671
OESA-2026-1672
OPENSUSE-SU-2026:10205-1
OPENSUSE-SU-2026:10539-1
OPENSUSE-SU-2026:20506-1
RHSA-2026:12176
RHSA-2026:13512
RHSA-2026:13672
RHSA-2026:19355
RHSA-2026:21431
RHSA-2026:21517
RHSA-2026:22330
RHSA-2026:7295
SUSE-SU-2026:20655-1
SUSE-SU-2026:20706-1
SUSE-SU-2026:21021-1
SUSE-SU-2026:21165-1
USN-8087-1
USN-8087-3

Produtos afetados

Linuxmint
Rocky Linux
Sect
Ubuntu
Cryptography