PT-2024-24742 · Vyper · Vyper
Cyberthirst
·
Publicado
2024-04-25
·
Atualizado
2025-01-02
·
CVE-2024-32649
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 0.3.10 e anteriores do Vyper
Descrição
O problema decorre do uso da função embutida
sqrt no Vyper, o que pode resultar em uma vulnerabilidade de avaliação dupla quando o argumento tem efeitos colaterais. Isso ocorre porque a função build IR da função embutida sqrt não armazena o argumento em cache na pilha, levando a múltiplas avaliações em vez de recuperar o valor da pilha. O impacto é considerado baixo, e não foram encontrados contratos de produção vulneráveis.Recomendações
Para as versões 0.3.10 e anteriores do Vyper, considere evitar o uso da função embutida
sqrt com argumentos que tenham efeitos colaterais até que uma versão corrigida esteja disponível.Como solução temporária, considere modificar a função
build IR para armazenar o argumento na pilha ou restringir o uso da função embutida sqrt em áreas sensíveis do código.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Eval Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vyper