发布日期：2026-02-10
更新日期：2026-04-07

受影响系统：

Q2A Projects cryptography < 46.0.5

描述：

---

CVE(CAN) ID: CVE-2026-26007

cryptography是Python Cryptographic Authority开源的一个Python的加密库。
cryptography 46.0.5之前版本存在加密错误漏洞，该漏洞源于public_key_from_numbers、EllipticCurvePublicNumbers.public_key()、load_der_public_key()和load_pem_public_key()函数未验证所给点是否属于曲线的预期素数阶子群，攻击者可利用该漏洞提供来自小阶子群的公钥点P，受害者在ECDH中计算共享密钥S=[受害者私钥]P时，会泄露其私钥模的信息，当这些弱公钥用于ECDSA时，攻击者利用该漏洞在小阶子群上伪造签名。

<*链接：https://github.com/pyca/cryptography/security/advisories/GHSA-r6ph-v2qm-q3c2
*>

建议：

---

厂商补丁：

Q2A Projects
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/pyca/cryptography/security/advisories/GHSA-r6ph-v2qm-q3c2

浏览次数：87
严重程度：0（网友投票）