PT-2024-20449 · Vyper · Vyper
Kuroi8
·
Publicado
2024-02-05
·
Atualizado
2024-02-12
·
CVE-2024-24559
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Vyper v0.2.0 a v0.3.10
Descrição
Há um erro no gerenciamento da pilha ao compilar o
IR para sha3 64. Mais especificamente, a variável height é calculada incorretamente. A vulnerabilidade não pode ser acionada sem escrever o IR manualmente, o que significa que não pode ser acionada a partir do código Vyper normal. O sha3 64 é usado para recuperação em mapeamentos. Não foi encontrado nenhum fluxo que armazenasse a chave em cache, portanto, não deve ser possível acionar o problema ao compilar o IR gerado pelo compilador. Esse problema não é acionado durante a compilação normal do código Vyper, portanto, o impacto é baixo.Recomendações
Para as versões do Vyper v0.2.0 a v0.3.10, atualize para uma versão que inclua o patch disponível em https://github.com/vyperlang/vyper/pull/4063 para resolver o problema.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vyper