PT-2021-24448 — Openzeppelin Openzeppelin Contracts+1

PT-2021-24448 · Openzeppelin · Openzeppelin Contracts+1

Publicado

2021-09-15

Atualizado

2021-09-15

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.

**Nome do software vulnerável e versões afetadas:

Versões do @openzeppelin/contracts anteriores à 4.3.2

Versões do @openzeppelin/contracts-upgradeable anteriores à 4.3.2

Descrição:

O problema afeta contratos atualizáveis que utilizam UUPSUpgradeable e pode levar a um ataque a contratos de implementação não inicializados.

Recomendações:

Para versões anteriores à 4.3.2, atualize para a versão 4.3.2 do @openzeppelin/contracts e do @openzeppelin/contracts-upgradeable.

Como solução temporária, inicialize contratos de implementação que utilizam UUPSUpgradeable invocando a função inicializadora, geralmente chamada initialize.

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

GHSA-Q4H9-46XG-M3X9

Produtos afetados

Openzeppelin Contracts

@Openzeppelin/Contracts-Upgradeable