PT-2020-21518 · Metamask · @Metamask/Eth-Ledger-Bridge-Keyring+1
Publicado
2020-03-24
·
Atualizado
2020-03-24
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do eth-ledger-bridge-keyring anteriores à 0.2.1
Versões do @metamask/eth-ledger-bridge-keyring anteriores à 0.2.2
Descrição
O problema afeta usuários que assinam com uma conta BIP44 que não seja a primeira conta. Isso afeta casos em que um usuário assina uma mensagem pessoal ou transação sem primeiro adicionar a conta, incluindo casos em que a conta foi adicionada em uma sessão anterior. O processo de serialização/desserialização restaura uma conta adicionada anteriormente, mas não restaura o índice que instrui o keyring a usar essa conta para assinatura, resultando na conta no índice
0 sendo usada para assinatura, mesmo que não seja a conta atual.Recomendações
Para versões do eth-ledger-bridge-keyring anteriores à 0.2.1, atualize para a versão 0.2.1 ou posterior.
Para versões do @metamask/eth-ledger-bridge-keyring anteriores à 0.2.2, atualize para a versão 0.2.2 ou posterior.
Como solução temporária, remova e, em seguida, adicione novamente a conta antes de usá-la para garantir que a assinatura funcione corretamente.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Metamask/Eth-Ledger-Bridge-Keyring
Eth-Ledger-Bridge-Keyring