セキュリティポータルに戻る
Missing confirmation in the ECDHSessionKey call
報告日:November 26, 2023
The Trezor Safe 3 returns the ECDHSessionKey without requiring appropriate user interaction, resulting in the omission of address confirmation screens in the user interaction workflow.
This concerns only the SSH functionality in Trezor and was fixed in 2.6.4.
報告者 Mathias Herberts
Trezor Safe 3
修正済みの脆弱性
コミュニティからの報告により、調査を行い、問題を解決しました。あなたのセキュリティは常に最優先です。
- Reflected cross-site scripting (XSS) vulnerability on connect.trezor.io via hash fragment script injection2026年3月25日
- EIP-712 Domain Spoofing via Double-Fetch2026年3月21日
- Open redirect on affiliate page2026年3月20日
- Biometric Verification bypassed in Trezor Suite with external monitor2026年3月9日
- Insufficient entropy on Trezor Model One with 12/18 words2026年2月6日
- Bug in multisig verification2026年1月10日