漏洞信息(CVE-2019-18672)

一、漏洞 CVE-2019-18672 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

在6.2.2版本的固件之前，ShapeShift KeepKey硬件钱包的有限状态机中缺乏检查，这可能导致通过编写的消息将加密秘密部分重置为已知值。值得注意的是，这破坏了新的服务器注册 U2F 的安全性，并 invalidating 了现有注册。这个漏洞可能会被未验证的 attackers 利用，而 interface 可以通过 WebUSB 访问。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Insufficient checks in the finite state machine of the ShapeShift KeepKey hardware wallet before firmware 6.2.2 allow a partial reset of cryptographic secrets to known values via crafted messages. Notably, this breaks the security of U2F for new server registrations and invalidates existing registrations. This vulnerability can be exploited by unauthenticated attackers and the interface is reachable via WebUSB.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

ShapeShift KeepKey finite state machine 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

ShapeShift KeepKey是一款用于加密货币存储的电子钱包设备。使用6.2.2之前版本固件的ShapeShift KeepKey中的finite state machine存在安全漏洞，该漏洞源于程序没有进行充足地验证。攻击者可借助特制的消息利用该漏洞将部分加密密钥重置成已知值。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2019-18672 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2019-18672 的情报信息

https://medium.com/shapeshift-stories/keepkey-release-notes-v-6f7d2ec78065 x_refsource_MISC
https://github.com/keepkey/keepkey-firmware/commit/769714fcb569e7a4faff9530a2d9ac1f9d6e5680 x_refsource_MISC
https://medium.com/shapeshift-stories/shapeshift-security-update-8ec89bb1b4e3 x_refsource_CONFIRM
https://blog.inhq.net/posts/keepkey-CVE-2019-18672/ x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2019-18672

一、 漏洞 CVE-2019-18672 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2019-18672 的公开POC

三、漏洞 CVE-2019-18672 的情报信息

一、漏洞 CVE-2019-18672 基础信息