Moduł Perl Crypt::Sodium::XS w wersjach poprzedzających 0.000042 zawiera podatną wersję biblioteki libsodium, która nieprawidłowo weryfikuje przynależność punktów krzywej eliptycznej Ed25519 do głównej grupy kryptograficznej. Może to prowadzić do naruszenia integralności i poufności operacji kryptograficznych w aplikacjach korzystających z tego modułu.
▸ Pokaż oryginał (EN)
Crypt::Sodium::XS module versions prior to 0.000042, for Perl, include a vulnerable version of libsodium libsodium <= 1.0.20 or a version of libsodium released before December 30, 2025 contains a vulnerability documented as CVE-2025-69277 https://www.cve.org/CVERecord?id=CVE-2025-69277 . The libsodium vulnerability states: In atypical use cases involving certain custom cryptography or untrusted data to crypto_core_ed25519_is_valid_point, mishandles checks for whether an elliptic curve point is valid because it sometimes allows points that aren't in the main cryptographic group. 0.000042 includes a version of libsodium updated to 1.0.20-stable, released January 3, 2026, which includes a fix for the vulnerability.
Podatność (CWE-347 — nieprawidłowa weryfikacja podpisu kryptograficznego) tkwi w funkcji crypto_core_ed25519_is_valid_point w bibliotece libsodium w wersjach 1.0.20 lub starszych wydanych przed 30 grudnia 2025 roku. W określonych, niestandardowych przypadkach użycia — takich jak własna kryptografia lub przetwarzanie niezaufanych danych — funkcja ta akceptuje punkty krzywej eliptycznej, które nie należą do głównej grupy kryptograficznej. Atakujący może dostarczyć spreparowany, pozornie poprawny punkt krzywej, który przejdzie weryfikację, mimo że jest matematycznie niepoprawny z perspektywy bezpieczeństwa kryptograficznego.
Atakujący może potencjalnie obejść weryfikacje kryptograficzne, co przy odpowiednim kontekście aplikacji może prowadzić do naruszenia poufności, integralności oraz dostępności chronionych danych — stąd ocena CVSS 9.8 (CRITICAL).
Należy zaktualizować moduł Crypt::Sodium::XS do wersji 0.000042 lub nowszej, która zawiera libsodium zaktualizowane do wersji 1.0.20-stable wydanej 3 stycznia 2026 roku i zawierającej poprawkę dla tej podatności. Szczegóły dostępne w referencjach producenta oraz w historii zmian na metacpan.org.
Moduł Perl Crypt::Sodium::XS w wersjach wcześniejszych niż 0.000042, zawierający libsodium w wersji <= 1.0.20 wydanej przed 30 grudnia 2025 roku.
Podatność dotyczy wyłącznie niestandardowych przypadków użycia — standardowe zastosowania libsodium mogą nie być narażone. Poprawka dostępna w libsodium 1.0.20-stable (wydanym 3 stycznia 2026) oraz w module Crypt::Sodium::XS 0.000042. Powiązana podatność biblioteki bazowej: CVE-2025-69277.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIamb Crypt\
APPIamb\