Библиотека base-x представляет собой кодировщик и декодировщик базы любого заданного алфавита с использованием сжатия ведущих нулей в стиле…
Библиотека base-x представляет собой кодировщик и декодировщик базы любого заданного алфавита с использованием сжатия ведущих нулей в стиле bitcoin. Версии 4.0.0, 5.0.0 и все версии до 3.0.11 уязвимы для атак, при которых злоумышленники потенциально могут обмануть пользователей и заставить их отправить средства на непредвиденный адрес. Проблема исправлена в версиях 3.0.11, 4.0.1 и 5.0.1 [1]. Проблема заключалась в том, что при декодировании строки принимались символы с кодом больше 255, хотя при создании алфавита такие символы запрещены. Это могло привести к тому, что злоумышленник смог бы обмануть пользователя и заставить его отправить средства на неверный адрес. Исправление было внесено в запрос #86 [2]. Источники: - [1] https://github.com/cryptocoinjs/base-x/security/advisories/GHSA-xq7p-g2vc-g82p - [2] https://github.com/cryptocoinjs/base-x/pull/86
Продукт отображает информацию или идентификаторы пользователю, однако механизм отображения не позволяет пользователю легко отличать визуально похожие или идентичные глифы (гомоглифы), что может привести к неверной интерпретации глифа и выполнению непреднамеренного, небезопасного действия.
https://cwe.mitre.org/data/definitions/1007.html →Открыть в коллекции CWE →Злоумышленник регистрирует доменное имя, содержащее омоглиф, что делает зарегистрированный домен визуально идентичным доверенному домену. Гомографическая атака эксплуатирует тот факт, что различные символы из разных кодировок выглядят для пользователя одинаково. Гомографические атаки, как правило, должны сочетаться с другими атаками, такими как фишинг, для перенаправления интернет-трафика на ресурсы под контролем злоумышленника.
https://capec.mitre.org/data/definitions/632.html →Открыть в коллекции CAPEC →