PT-2021-16812 · Unknown · Cosmos Network Ethermint
Summerproo
·
Publicado
2021-02-08
·
Atualizado
2021-02-12
·
CVE-2021-25837
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Cosmos Network Ethermint versões <= 0.4.0
Descrição
O problema está relacionado à inconsistência no ciclo de vida do cache no módulo EVM. Essa inconsistência ocorre entre o ciclo de cache de armazenamento e o ciclo de processamento de transações (Tx), fazendo com que as alterações de armazenamento provenientes de transações com falha sejam indevidamente reservadas na memória. Embora os dados incorretos do cache de armazenamento sejam descartados no EndBlock, eles permanecem válidos no bloco atual. Isso possibilita ataques, como a “criação arbitrária de tokens”.
Recomendações
Para as versões do Ethermint da Rede Cosmos <= 0.4.0, atualize para uma versão superior a 0.4.0 para resolver o problema de inconsistência no ciclo de vida do cache. Como solução temporária, considere restringir o uso do módulo EVM até que um patch esteja disponível.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cosmos Network Ethermint