PT-2021-23225 · Openzeppelin · @Openzeppelin/Contracts-Upgradeable+1
Frangio
·
Publicado
2021-09-15
·
Atualizado
2021-11-15
·
CVE-2021-41264
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do @openzeppelin/contracts anteriores à 4.3.2
Versões do @openzeppelin/contracts-upgradeable anteriores à 4.3.2
Descrição
A vulnerabilidade afeta contratos atualizáveis que utilizam
UUPSUpgradeable no OpenZeppelin Contracts, uma biblioteca para desenvolvimento de contratos inteligentes. Esses contratos podem estar vulneráveis a um ataque que afeta contratos de implementação não inicializados.Recomendações
Para versões anteriores à 4.3.2, atualize para a versão 4.3.2 do
@openzeppelin/contracts e do @openzeppelin/contracts-upgradeable.Como solução temporária para usuários que não conseguem atualizar, inicialize contratos de implementação que utilizam
UUPSUpgradeable chamando a função de inicialização, geralmente chamada de initialize.Correção
Improper Initialization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openzeppelin Contracts
@Openzeppelin/Contracts-Upgradeable