PT-2024-20451 · Vyper · Vyper
Zobront
·
Publicado
2024-02-02
·
Atualizado
2024-02-12
·
CVE-2024-24560
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Vyper (versões afetadas não especificadas)
Descrição
O problema surge quando são feitas chamadas a contratos externos e o buffer de entrada se sobrepõe ao buffer de retorno. Ao verificar o RETURNDATASIZE para tipos dinâmicos, o tamanho é comparado apenas com o tamanho mínimo permitido para esse tipo, e não com o comprimento do valor retornado. Como resultado, dados de retorno malformados podem fazer com que o contrato confunda dados do buffer de entrada com dados de retorno. Isso pode ocorrer quando o contrato chamado retorna dados codificados em ABIv2 inválidos, permitindo que o contrato chamador leia dados inválidos diferentes do buffer corrompido.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vyper