Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la consola Python en Electrum (CVE-2018-6353)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
27/01/2018
Última modificación:
15/02/2018

Descripción

La consola Python en Electrum hasta la versión 2.9.4 y las versiones 3.x hasta la 3.0.5 son compatibles con código Python arbitrario sin considerar (1) ataques de ingeniería social en los que un usuario pega código que no entiende y (2) código pegado por un ataque próximo físicamente en una estación de trabajo sin atender. Esto facilita que los atacantes roben bitcoins mediante código de enlace que se ejecuta posteriormente, una vez se ha introducido la contraseña. Esta vulnerabilidad es diferente de CVE-2018-1000022.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:electrum:electrum:*:*:*:*:*:*:*:* 2.9.4 (incluyendo)
cpe:2.3:a:electrum:electrum:3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:electrum:electrum:3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:electrum:electrum:3.0.2:*:*:*:*:*:*:*
cpe:2.3:a:electrum:electrum:3.0.3:*:*:*:*:*:*:*
cpe:2.3:a:electrum:electrum:3.0.5:*:*:*:*:*:*:*