GHSA-9wx7-jrvc-28mm

Опубликовано: 08 нояб. 2021

Источник: github

Github: Прошло ревью

Описание

Signature verification vulnerability in Stark Bank ecdsa libraries

An attacker can forge signatures on arbitrary messages that will verify for any public key. This may allow attackers to authenticate as any user within the Stark Bank platform, and bypass signature verification needed to perform operations on the platform, such as send payments and transfer funds. Additionally, the ability for attackers to forge signatures may impact other users and projects using these libraries in different and unforeseen ways.

Ссылки

Пакеты

Наименование

starkbank-ecdsa

pip

Затронутые версииВерсия исправления

< 2.0.1

2.0.1

Наименование

com.starkbank:ecdsa-java

maven

Затронутые версииВерсия исправления

= 1.0.0

1.0.1

Наименование

starkbank-ecdsa

nuget

Затронутые версииВерсия исправления

= 1.3.1

1.3.2

Наименование

starkbank-ecdsa

npm

Затронутые версииВерсия исправления

= 1.1.2

1.1.3

Дефекты

CWE-347

Дефекты

CWE-347