PT-2024-25818 · Unknown · Go-Spacemesh+1
Highfasmat
·
Publicado
2024-05-10
·
Atualizado
2024-05-14
·
CVE-2024-34360
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do go-spacemesh anteriores à 1.5.2-hotfix1
Versões da API do Spacemesh anteriores à 1.37.1
Descrição
A vulnerabilidade permite que os nós publiquem transações de ativação (ATXs) que fazem referência a uma ATX anterior incorreta do Smesher que criou a ATX. Isso viola a regra do protocolo de que as ATXs devem formar uma única cadeia, da mais recente até a primeira ATX já publicada por uma identidade. Como resultado, os nós podem ser recompensados por manter seus dados PoST por menos de um époco, mesmo ainda sendo elegíveis para recompensas, servindo como um vetor de ataque.
Recomendações
Para versões do go-spacemesh anteriores à 1.5.2-hotfix1, atualize para a versão 1.5.2-hotfix1 para corrigir a vulnerabilidade.
Para versões da API do Spacemesh anteriores à 1.37.1, atualize para a versão 1.37.1 para corrigir a vulnerabilidade.
Como solução alternativa temporária, considere restringir a capacidade de publicar ATXs que façam referência a um ATX anterior como anterior até que um patch esteja disponível.
Exploit
Correção
Improper Check for Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Spacemesh Api
Go-Spacemesh