Vulnerabilidad en tiny-secp256k1 (CVE-2024-49365)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/07/2025
Última modificación:
03/07/2025
Descripción
tiny-secp256k1 es un pequeño contenedor nativo/JS para secp256k1. Antes de la versión 1.1.7, se podía crear un mensaje malicioso que se pudiera convertir en cadena JSON al pasar por verify() cuando el paquete de búfer es global Búfer. Esto solo afecta a entornos donde require('búfer') es el paquete de búfer de NPM. Se puede omitir la comprobación de Buffer.isBuffer, lo que provoca que se acepten objetos extraños como mensaje, y estos mensajes podrían engañar a verify() para que devuelva valores verdaderos falsos positivos. Este problema se ha corregido en la versión 1.1.7.