PT-2023-22826 · Vyper · Vyper

Algys

Publicado

2023-04-24

Atualizado

2023-08-02

CVE-2023-30629

CVSS v4.0

8.7

Alta

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

Name of the Vulnerable Software and Affected Versions Vyper versions 0.3.1 through 0.3.7

Description The Vyper compiler generates the wrong bytecode in versions 0.3.1 through 0.3.7. Any contract that uses the raw call with revert on failure=False and max outsize=0 receives the wrong response from raw call. Depending on the memory garbage, the result can be either True or False.

Recommendations For Vyper versions 0.3.1 through 0.3.7, as a temporary workaround, consider always putting max outsize>0 to avoid the issue. A patch is anticipated to be part of Vyper 0.3.8.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-670

Identificadores relacionados

CVE-2023-30629

GHSA-W9G2-3W7P-72G9

PYSEC-2023-131

Produtos afetados

Vyper

PT-2023-22826 · Vyper · Vyper

CVE-2023-30629

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 14