N/A
CVE编号
CVE-2024-48949利用情况
暂无补丁情况
N/A披露时间
2024-10-10漏洞描述
Elliptic包在版本6.5.6之前的Node.js中,lib/elliptic/eddsa/index.js文件中的验证功能忽略了"sig.S().gte(sig.eddsa.curve.n) || sig.S().isNeg()"验证。这意味着该验证功能没有检查签名(sig)的S值是否大于或等于曲线阶数(n)或者是否为负数,这可能导致安全漏洞。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/indutny/elliptic/commit/7ac5360118f74eb02da73bdf9f24fd0c72ff5281 | |
| https://github.com/indutny/elliptic/compare/v6.5.5...v6.5.6 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论