PT-2024-21300 · Vyper · Vyper

Minaminao-Osec

Publicado

2024-02-26

Atualizado

2025-01-16

CVE-2024-26149

CVSS v3.1

5.3

Média

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Nome do software vulnerável e versões afetadas

Versões 0.3.10 e anteriores do Vyper

Descrição

O problema ocorre quando um valor excessivamente grande é especificado como índice inicial para uma matriz em abi decode, causando um estouro na posição de leitura. Isso resulta na decodificação de valores fora dos limites pretendidos da matriz, podendo levar a explorações em contratos que utilizam matrizes dentro de abi decode.

Recomendações

Para as versões 0.3.10 e anteriores, atualize para uma versão que inclua os patches de https://github.com/vyperlang/vyper/pull/3925, https://github.com/vyperlang/vyper/pull/4091, https://github.com/vyperlang/vyper/pull/4144 ou https://github.com/vyperlang/vyper/pull/4060 para resolver o problema. Como solução alternativa temporária, considere restringir o uso da função abi decode com índices iniciais grandes para matrizes, a fim de minimizar o risco de exploração.

Exploit

Correção

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-119CWE-120

Identificadores relacionados

CVE-2024-26149

GHSA-9P8R-4XP4-GW5W

PYSEC-2024-164

Produtos afetados

Vyper

PT-2024-21300 · Vyper · Vyper

CVE-2024-26149

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 15