PT-2022-16879 · Vyper · Vyper
Charles-Cooper
·
Publicado
2022-04-04
·
Atualizado
2023-08-02
·
CVE-2022-24787
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 0.3.1 e anteriores do Vyper
Descrição
O problema decorre da comparação de sequências de bytes, que pode gerar resultados incorretos devido à presença de bytes corrompidos ou à falta de comparação de comprimento. Especificamente, duas cadeias de bytes podem ser comparadas como iguais mesmo que uma termine com um byte nulo (
x00), pois a comparação não leva em conta o comprimento das cadeias de bytes. Isso pode levar a avaliações incorretas, como b1 == b2 retornando True quando b1 e b2 não são idênticos.Recomendações
Para as versões 0.3.1 e anteriores do Vyper, atualize para a versão 0.3.2 ou posterior, que deverá incluir o patch para este problema.
No momento, não há informações sobre outras soluções alternativas para esta vulnerabilidade.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vyper