CVE-2026-10512
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Implementacja X25519 w asemblerze x86_64 nie czyści najstarszego bitu podczas końcowej redukcji modularnej, przez co wynik może nie być w pełni zredukowany modulo liczba pierwsza 2^255 - 19. Powoduje to pozostawienie elementu ciała w formie niekanonicznej, co prowadzi do błędnego wyniku mnożenia skalarnego i potencjalnie nieprawidłowego wspólnego sekretu.
Ocena ryzyka
Organizacja może otrzymać nieprawidłowy wspólny sekret podczas wymiany kluczy X25519, co może prowadzić do nieudanego uzgodnienia klucza lub potencjalnych ataków na poufność komunikacji.
Rekomendacja
Zaktualizuj bibliotekę lub oprogramowanie używające implementacji X25519 w asemblerze x86_64 do wersji, w której poprawiono końcową redukcję modularną (maskowanie najstarszego bitu).
Oryginalny opis (angielski, źródło NVD)
The X25519 x86_64 assembly implementation fails to clear the most significant bit during the final modular reduction, so the computed result may not be fully reduced modulo the field prime 2^255 - 19. This can leave the field element in a non-canonical form, producing an incorrect result from the scalar multiplication and potentially a wrong shared secret. The final carry-propagation chains in the x64 and AVX2 reduction routines could overflow into the top bit, and the high limb was not masked afterward, so the 255-bit field element was left non-canonical.

