PT-2024-24739 · Vyper · Vyper
Cyberthirst
·
Publicado
2024-04-25
·
Atualizado
2025-01-02
·
CVE-2024-32646
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 0.3.10 e anteriores do Vyper
Descrição
O uso da função embutida
slice pode resultar em uma vulnerabilidade de dupla avaliação quando o argumento do buffer é msg.data, self.code ou <address>.code e os argumentos start ou length apresentam efeitos colaterais. O impacto é baixo, e não foram encontrados contratos de produção vulneráveis. A dupla avaliação de efeitos colaterais deve ser facilmente detectável em testes de cliente.Recomendações
Como solução temporária, considere evitar o uso da função embutida
slice com msg.data, self.code ou <address>.code como argumento de buffer, especialmente quando os argumentos start ou length tiverem efeitos colaterais, até que uma versão corrigida esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vyper