Frangio

**Name of the Vulnerable Software and Affected Versions** OpenZeppelin Contracts versions prior to 4.8.3 **Description** The proposal creation entrypoint (`propose`) in `GovernorCompatibilityBravo` allows the creation of proposals with a `signatures` array shorter than the `calldatas` array. This causes the additional elements of the latter to be ignored, and if the proposal succeeds the corresponding actions would eventually execute without any calldata. The `ProposalCreated` event correctly represents what will eventually execute, but the proposal parameters as queried through `getActions` appear to respect the original intended calldata. **Recommendations** For versions prior to 4.8.3, update to version 4.8.3 to resolve the issue. As a temporary workaround, ensure that all proposals that pass through governance have equal length `signatures` and `calldatas` parameters.

**Name of the Vulnerable Software and Affected Versions** OpenZeppelin Contracts versions prior to 4.8.2 **Description** The ERC721Consecutive contract, designed for minting NFTs in batches, does not update balances when a batch has size 1 and consists of a single token. Subsequent transfers from the receiver of that token may overflow the balance as reported by `balanceOf`. The issue exclusively presents with batches of size 1. **Recommendations** For versions prior to 4.8.2, update to version 4.8.2 to resolve the issue. As a temporary workaround, consider restricting the use of the ERC721Consecutive contract for batches of size 1 until the update is applied.

**Nome do software vulnerável e versões afetadas** Versões do OpenZeppelin Contracts anteriores à 4.7.3 **Descrição** As funções `ECDSA.recover` e `ECDSA.tryRecover` estão vulneráveis à maleabilidade de assinatura, pois aceitam assinaturas compactas EIP-2098 além do formato tradicional de assinatura de 65 bytes. Este problema afeta contratos que implementam a reutilização de assinaturas ou proteção contra repetição, marcando a própria assinatura como usada, em vez da mensagem assinada ou de um nonce incluído nela. Um usuário pode enviar uma assinatura usada anteriormente de uma forma diferente, contornando essa proteção. **Recomendações** Para versões anteriores à 4.7.3, atualize para a versão 4.7.3 para resolver o problema. Como solução temporária, considere modificar os contratos para implementar a reutilização de assinaturas ou a proteção contra repetição, marcando a mensagem assinada ou um nonce incluído nela como usado, em vez da própria assinatura. Restrinja o acesso às funções `ECDSA.recover` e `ECDSA.tryRecover` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do OpenZeppelin Contracts anteriores à 4.7.2 **Descrição** O contrato de destino de uma consulta `supportsInterface` da EIP-165 pode causar um consumo ilimitado de gas ao retornar uma grande quantidade de dados, embora geralmente se presuma que essa operação tenha um custo limitado. **Recomendações** Para versões anteriores à 4.7.2, atualize para a versão 4.7.2 para resolver o problema. Como solução alternativa temporária, considere restringir a quantidade de dados retornados pelo contrato de destino de uma consulta `supportsInterface` EIP-165 para evitar o consumo ilimitado de gás.

**Nome do software vulnerável e versões afetadas** OpenZeppelin Contracts, versões 4.1.0 a 4.7.1 **Descrição** O problema diz respeito ao SignatureChecker reverter em certos casos, o que não é esperado. Isso ocorre devido a uma suposição incorreta sobre o `abi.decode` do Solidity 0.8, especificamente quando um contrato de destino não implementa o EIP-1271 conforme esperado. Os contratos que podem ser afetados são aqueles que utilizam o `SignatureChecker` para verificar a validade da assinatura e lidar com assinaturas inválidas de uma forma diferente da reversão. **Recomendações** Para as versões 4.1.0 a 4.7.1, atualize para a versão 4.7.1 para resolver o problema. Como solução alternativa temporária, considere modificar o tratamento de assinaturas inválidas em contratos que usam `SignatureChecker` para evitar a reversão. Restrinja o uso de `SignatureChecker.isValidSignatureNow` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** OpenZeppelin Contracts, versões 4.0.0 a 4.7.1 **Descrição** O problema diz respeito ao ERC165Checker no OpenZeppelin Contracts, que pode retornar um valor diferente de `false` em determinadas condições. Especificamente, isso ocorre quando um contrato de destino não implementa o EIP-165 conforme esperado e retorna um valor diferente de 0 ou 1. Os contratos que podem ser afetados são aqueles que usam `ERC165Checker` para verificar o suporte a uma interface e, em seguida, lidam com a falta de suporte de uma forma diferente da reversão. **Recomendações** Para as versões 4.0.0 a 4.7.1, atualize para a versão 4.7.1 para resolver o problema. Como solução alternativa temporária, considere modificar o contrato para lidar com a falta de suporte de uma maneira que não dependa do valor de retorno de `ERC165Checker.supportsInterface`. Restrinja o acesso à função `ERC165Checker` para minimizar o risco de exploração até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do @openzeppelin/contracts anteriores à 4.3.2 Versões do @openzeppelin/contracts-upgradeable anteriores à 4.3.2 **Descrição** A vulnerabilidade afeta contratos atualizáveis que utilizam `UUPSUpgradeable` no OpenZeppelin Contracts, uma biblioteca para desenvolvimento de contratos inteligentes. Esses contratos podem estar vulneráveis a um ataque que afeta contratos de implementação não inicializados. **Recomendações** Para versões anteriores à 4.3.2, atualize para a versão 4.3.2 do `@openzeppelin/contracts` e do `@openzeppelin/contracts-upgradeable`. Como solução temporária para usuários que não conseguem atualizar, inicialize contratos de implementação que utilizam `UUPSUpgradeable` chamando a função de inicialização, geralmente chamada de `initialize`.