CVE-2019-25003
https://notcve.org/view.php?id=CVE-2019-25003
An issue was discovered in the libsecp256k1 crate before 0.3.1 for Rust. Scalar::check_overflow allows a timing side-channel attack; consequently, attackers can obtain sensitive information. Se detectó un problema en la crate libsecp256k1 versiones anteriores a 0.3.1 para Rust. La función Scalar::check_overflow permite un ataque de canal lateral de sincronización; en consecuencia, unos atacantes pueden conseguir información confidencial. • https://rustsec.org/advisories/RUSTSEC-2019-0027.html •
CVE-2019-20399
https://notcve.org/view.php?id=CVE-2019-20399
A timing vulnerability in the Scalar::check_overflow function in Parity libsecp256k1-rs before 0.3.1 potentially allows an attacker to leak information via a side-channel attack. Una vulnerabilidad de sincronización en la función Scalar::check_overflow en Parity libsecp256k1-rs versiones anteriores a 0.3.1, potencialmente permite a un atacante filtrar información por medio de un ataque de canal lateral. • https://github.com/paritytech/libsecp256k1/commit/11ba23a9766a5079918cd9f515bc100bc8164b50 • CWE-203: Observable Discrepancy •
CVE-2017-14460
https://notcve.org/view.php?id=CVE-2017-14460
An exploitable overly permissive cross-domain (CORS) whitelist vulnerability exists in JSON-RPC of Parity Ethereum client version 1.7.8. An automatically sent JSON object to JSON-RPC endpoint can trigger this vulnerability. A victim needs to visit a malicious website to trigger this vulnerability. Existe una vulnerabilidad explotable de lista blanca de dominio cruzado demasiado permisivo (CORS) en el JSON-RPC del cliente Parity Ethereum en su versión 1.7.8. Un objeto JSON enviado automáticamente al extremo JSON-RPC puede desencadenar esta vulnerabilidad. • https://www.talosintelligence.com/vulnerability_reports/TALOS-2017-0508 •
CVE-2017-18016 – Parity Browser < 1.6.10 - Bypass Same Origin Policy
https://notcve.org/view.php?id=CVE-2017-18016
Parity Browser 1.6.10 and earlier allows remote attackers to bypass the Same Origin Policy and obtain sensitive information by requesting other websites via the Parity web proxy engine (reusing the current website's token, which is not bound to an origin). Parity Browser 1.6.10 y anteriores permite que atacantes remotos omitan la política del mismo origen y obtengan información sensible mediante peticiones a otros sitios por medio del motor web proxy de Parity (reutilizando el token de la página web actual, que no está enlazado a un origen). Parity versions 1.6.10 (stable) and below suffer from a same origin policy bypass vulnerability via a webproxy token reuse issue. • https://www.exploit-db.com/exploits/43499 http://www.openwall.com/lists/oss-security/2018/01/10/1 https://github.com/paritytech/parity/commit/53609f703e2f1af76441344ac3b72811c726a215 https://github.com/tintinweb/pub/tree/master/pocs/cve-2017-18016 • CWE-346: Origin Validation Error •