PT-2021-24336 · Unknown · @Openzeppelin/Contracts-Upgradeable+2
Publicado
2021-12-14
·
Atualizado
2022-02-09
·
CVE-2021-46320
CVSS v3.1
5.6
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L |
**Nome do software vulnerável e versões afetadas:
Versões do OpenZeppelin <=v4.4.0
Descrição:
Funções de inicialização que são chamadas separadamente da criação do contrato, como proxies mínimos, podem ser reexecutadas se realizarem uma chamada externa não confiável que não seja de visualização. Normalmente, uma vez que um inicializador tenha terminado de ser executado, ele nunca pode ser reexecutado. No entanto, uma exceção para suportar herança múltipla tornou a reentrada possível, quebrando a expectativa de uma única execução. Acredita-se que o impacto dessa vulnerabilidade seja menor, já que proxies atualizáveis são comumente inicializados junto com a criação do contrato, onde a reentrada não é viável.
Recomendações:
Para versões do OpenZeppelin <=v4.4.0, atualize para a versão v4.4.1 do
@openzeppelin/contracts e do @openzeppelin/contracts-upgradeable para corrigir o problema.Como solução alternativa temporária, evite fazer chamadas externas não confiáveis durante a inicialização.
Correção
Improper Initialization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openzeppelin Contracts
@Openzeppelin/Contracts-Upgradeable
Openzeppelin