CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-15947
https://notcve.org/view.php?id=CVE-2019-15947
In Bitcoin Core 0.18.0, bitcoin-qt stores wallet.dat data unencrypted in memory. Upon a crash, it may dump a core file. If a user were to mishandle a core file, an attacker can reconstruct the user's wallet.dat file, including their private keys, via a grep "6231 0500" command. En Bitcoin Core versión 0.18.0, bitcoin-qt almacena los datos de wallet.dat sin cifrar en la memoria. Ante un bloqueo, puede volcar un archivo core. • https://en.bitcoin.it/wiki/Common_Vulnerabilities_and_Exposures#CVE-2019-15947 https://gist.github.com/oxagast/50a121b2df32186e0c48411859d5861b https://github.com/bitcoin/bitcoin/issues/16824 https://security.gentoo.org/glsa/202009-18 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-20587
https://notcve.org/view.php?id=CVE-2018-20587
Bitcoin Core 0.12.0 through 0.17.1 and Bitcoin Knots 0.12.0 through 0.17.x before 0.17.1.knots20181229 have Incorrect Access Control. Local users can exploit this to steal currency by binding the RPC IPv4 localhost port, and forwarding requests to the IPv6 localhost port. Bitcoin Core, desde la versión 0.12.0 hasta la 0.17.1 y Bitcoin Knots, desde la versión 0.12.0 hasta la 0.17.x antes de la 0.17.1.knots20181229 tienen un control de acceso incorrecto. Los usuarios locales pueden explotar esta vulnerabilidad para robar dinero enlazando el puerto localhost IPv4 RPC y reenviando peticiones al puerto localhost IPv6. • https://en.bitcoin.it/wiki/Common_Vulnerabilities_and_Exposures#CVE-2018-20587 https://medium.com/%40lukedashjr/cve-2018-20587-advisory-and-full-disclosure-a3105551e78b •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2018-17144
https://notcve.org/view.php?id=CVE-2018-17144
Bitcoin Core 0.14.x before 0.14.3, 0.15.x before 0.15.2, and 0.16.x before 0.16.3 and Bitcoin Knots 0.14.x through 0.16.x before 0.16.3 allow a remote denial of service (application crash) exploitable by miners via duplicate input. An attacker can make bitcoind or Bitcoin-Qt crash. Bitcoin Core en versiones 0.14.x anteriores a la 0.14.3, 0.15.x anteriores a la 0.15.2 y 0.16.x anteriores a la 0.16.3 y Bitcoin Knots desde las versiones 0.14.x hasta las 0.16.x anteriores a la 0.16.3 permiten una denegación remota de servicio (cierre inesperado de la aplicación) explotable por mineros mediante entradas duplicadas. Un atacante puede provocar el cierre inesperado de bitcoind o de Bitcoin-Qt. • https://bitcoincore.org/en/2018/09/18/release-0.16.3 https://en.bitcoin.it/wiki/Common_Vulnerabilities_and_Exposures#CVE-2018-17144 https://github.com/JinBean/CVE-Extension https://github.com/bitcoin/bitcoin/blob/v0.16.3/doc/release-notes.md https://github.com/bitcoinknots/bitcoin/blob/v0.16.3.knots20180918/doc/release-notes.md •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2016-10725
https://notcve.org/view.php?id=CVE-2016-10725
In Bitcoin Core before v0.13.0, a non-final alert is able to block the special "final alert" (which is supposed to override all other alerts) because operations occur in the wrong order. This behavior occurs in the remote network alert system (deprecated since Q1 2016). This affects other uses of the codebase, such as Bitcoin Knots before v0.13.0.knots20160814 and many altcoins. En Bitcoin Core en versiones anteriores a la v0.13.0, una alerta no final puede bloquear la "alerta final" especial (que se supone que debe anteponerse a todas las otras alertas) debido a que las operaciones ocurren en el orden incorrecto. Este comportamiento ocurren en el sistema de alertas de red remoto (obsoleto desde el primer trimestre de 2016). • https://bitcoin.org/en/posts/alert-key-and-vulnerabilities-disclosure https://en.bitcoin.it/wiki/Common_Vulnerabilities_and_Exposures https://github.com/JinBean/CVE-Extension https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2018-July/016189.html • CWE-310: Cryptographic Issues •
CVSS: 7.8EPSS: 0%CPEs: 3EXPL: 0CVE-2016-10724
https://notcve.org/view.php?id=CVE-2016-10724
Bitcoin Core before v0.13.0 allows denial of service (memory exhaustion) triggered by the remote network alert system (deprecated since Q1 2016) if an attacker can sign a message with a certain private key that had been known by unintended actors, because of an infinitely sized map. This affects other uses of the codebase, such as Bitcoin Knots before v0.13.0.knots20160814 and many altcoins. Bitcoin Core en versiones anteriores a la v0.13.0 permite una denegación de servicio (DoS) desencadenada por el sistema de alertas de red remoto (obsoleto desde el primer trimestre de 2016) si un atacante puede firmar un mensaje con una clave privada determinada que sea conocida por actores no planeados debido a un mapa de tamaño infinito. Esto afecta a otros usos del código base, como Bitcoin Knots en versiones anteriores a la v0.13.0.knots20160814 y otros altcoins. • https://bitcoin.org/en/posts/alert-key-and-vulnerabilities-disclosure https://en.bitcoin.it/wiki/Common_Vulnerabilities_and_Exposures https://github.com/JinBean/CVE-Extension https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2018-July/016189.html • CWE-400: Uncontrolled Resource Consumption •