Retour au portail de sécurité
Missing confirmation in the ECDHSessionKey call
Signalé sur November 26, 2023
The Trezor Safe 3 returns the ECDHSessionKey without requiring appropriate user interaction, resulting in the omission of address confirmation screens in the user interaction workflow.
This concerns only the SSH functionality in Trezor and was fixed in 2.6.4.
Signalé par Mathias Herberts
Trezor Safe 3
Vulnérabilités résolues
Signalé par la communauté. Examiné. Résolu. Parce que votre sécurité n’est jamais optionnelle.
- Reflected cross-site scripting (XSS) vulnerability on connect.trezor.io via hash fragment script injection25 mars 2026
- EIP-712 Domain Spoofing via Double-Fetch21 mars 2026
- Open redirect on affiliate page20 mars 2026
- Biometric Verification bypassed in Trezor Suite with external monitor9 mars 2026
- Insufficient entropy on Trezor Model One with 12/18 words6 février 2026
- Bug in multisig verification10 janvier 2026