Vulnerabilidad en Elliptic (CVE-2025-14505)

La implementación de ECDSA del paquete Elliptic genera firmas incorrectas si un valor intermedio de &amp;#39;k&amp;#39; (calculado según el paso 3.2 de RFC 6979 HTTPS://datatracker.ietf.org/doc/html/rfc6979 ) tiene ceros iniciales y es susceptible a criptoanálisis, lo que puede llevar a la exposición de la clave secreta. Esto ocurre porque la longitud en bytes de &amp;#39;k&amp;#39; se calcula incorrectamente, lo que resulta en su truncamiento durante el cálculo. Las transacciones o comunicaciones legítimas se romperán como resultado. Además, debido a la naturaleza del fallo, los atacantes podrían –bajo ciertas condiciones– derivar la clave secreta, si pudieran obtener tanto una firma defectuosa generada por una versión vulnerable de Elliptic como una firma correcta para las mismas entradas.<br /> <br /> Este problema afecta a todas las versiones conocidas de Elliptic (en el momento de escribir esto, versiones menores o iguales a 6.6.1).