Tech Blog

2026-01-22 opencve vulnerability

Kritische Privatsphäre-Lücke in SM2-Verschlüsselung von sm-crypto (CVE-2026-23966)

⚠️ CVE-Referenzen: CVE-2026-23966

Zusammenfassung

In der JavaScript-Bibliothek sm-crypto, die die chinesischen Krypto-Algorithmen SM2, SM3 und SM4 implementiert, wurde eine schwerwiegende Sicherheitslücke in der SM2-Entschlüsselung entdeckt. Angreifer können durch wiederholte Interaktionen mit der Entschlüsselungsschnittstelle den privaten Schlüssel in nur wenigen hundert Versuchen vollständig auslesen. Die Schwachstelle wurde in Version 0.3.14 behoben.

sm-crypto provides JavaScript implementations of the Chinese cryptographic algorithms SM2, SM3, and SM4. A private key recovery vulnerability exists in the SM2 decryption logic of sm-crypto prior to version 0.3.14. By interacting with the SM2 decryption interface multiple times, an attacker can fully recover the private key within approximately several hundred interactions. Version 0.3.14 patches the issue.

Quelle: app.opencve.io

Originalartikel lesen →

← Zurück zur Übersicht