Node-elliptic
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
8.2
Макс. EPSS
0.02629
Распределение по критичности
Критический
0
Высокий
2
Средний
5
Низкий
1
Также сопоставлено как (исходные строки): node-elliptic
Топ уязвимостей
CVE-2024-48949Функция verify в lib/elliptic/eddsa/index.js в пакете Elliptic до версии 6.5.6 для Node.js опускает валидацию "sig.S().gte(sig.eddsa.curve.n) || sig.S().isNeg()".
CVE-2020-13822Пакет Elliptic 6.5.2 для Node.js допускает изменяемость подписи ECDSA из-за вариаций в кодировке, ведущих байтов '\0' или переполнения целых чисел. Это может иметь значительные последствия для безопасности, если приложение полагалось на единственную каноническую подпись.
CVE-2020-28498Пакет elliptic до версии 6.5.4 уязвим для криптографических проблем через реализацию secp256k1 в elliptic/ec/key.js. Нет проверки для подтверждения того, что точка открытого ключа, переданная в функцию derive, действительно существует на кривой secp256k1. Это приводит к тому, что закрытый ключ, используемый в этой реализации, может быть раскрыт после выполнения ряда операций ECDH.
CVE-2025-14505Реализация ECDSA пакета Elliptic генерирует неправиль подписи, если промежуточное значение 'k' (как вычислено на основе шага 3.2 RFC 6979 https://datatracker.ietf.org/doc/html/rfc6979 ) имеет ведущие нули и восприимчив к криптоанализу, что может привести к секретному воздействию ключа. Это происходит потому, что длина бага «k» неправильно вычисляется, в результате чего она усечена во время вычислений. В результате будут нарушены законные транзакции или коммуникации. Кроме того, из-за характера неисправности злоумышленники могли — при определенных условиях — получить секретный ключ, если они могли получить в свои руки как неисправную сигнатуру, генерируемую уязвимой версией эллиптика, так и правильную подпись для тех же входов.
Этот выпуск затрагивает все известные версии Elliptic (на момент написания, версии меньше или равные 6,6.1).
CVE-2024-42461В пакете Elliptic 6.5.6 для Node.js происходит изменение подписи ECDSA из-за того, что разрешены подписи в кодировке BER.
CVE-2024-42460В пакете Elliptic 6.5.6 для Node.js происходит изменение подписи ECDSA из-за отсутствия проверки того, является ли старший бит r и s нулем.
CVE-2024-42459В пакете Elliptic 6.5.6 для Node.js происходит изменение подписи EDDSA из-за отсутствия проверки длины подписи, и, следовательно, байты с нулевым значением могут быть удалены или добавлены.
CVE-2024-48948Пакет Elliptic 6.5.7 для Node.js в своей реализации ECDSA некорректно проверяет действительные подписи, если хеш содержит не менее четырех ведущих 0 байтов и когда порядок базовой точки эллиптической кривой меньше, чем хеш, из-за аномалии _truncateToN. Это приводит к тому, что действительные подписи отклоняются. Законные транзакции или сообщения могут быть ошибочно помечены как недействительные.