Missing confirmation in the ECDHSessionKey call

Nahlášeno November 26, 2023

The Trezor Safe 3 returns the ECDHSessionKey without requiring appropriate user interaction, resulting in the omission of address confirmation screens in the user interaction workflow.

This concerns only the SSH functionality in Trezor and was fixed in 2.6.4.

Nahlášeno Mathias Herberts

Trezor Safe 3

Vyřešené zranitelnosti

Nahlášeno komunitou. Prošetřeno. Vyřešeno. Protože vaše bezpečnost není nikdy volitelná.

Reflected cross-site scripting (XSS) vulnerability on connect.trezor.io via hash fragment script injection
25. března 2026
EIP-712 Domain Spoofing via Double-Fetch
21. března 2026
Open redirect on affiliate page
20. března 2026
Biometric Verification bypassed in Trezor Suite with external monitor
9. března 2026
Insufficient entropy on Trezor Model One with 12/18 words
6. února 2026
Bug in multisig verification
10. ledna 2026