PT-2024-28634 · Evmos · Evmos
Gatom22
·
Publicado
2024-07-05
·
Atualizado
2024-07-10
·
CVE-2024-39696
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Evmos anteriores à 19.0.0
Descrição
A vulnerabilidade permite que um usuário crie uma conta de vesting utilizando uma conta de terceiros como financiador sem a permissão deste. Isso é possível porque a autorização verificada no código é para o
contract.CallerAddress, mas os fundos são retirados do funder address fornecido na mensagem. Consequentemente, o usuário pode financiar uma conta de vesting com uma conta de terceiros sem a permissão deste, potencialmente esvaziando todas as contas na cadeia.Recomendações
Para versões anteriores à 19.0.0, atualize para a versão 19.0.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de criação de contas de vesting para minimizar o risco de exploração. Evite usar o parâmetro
funder address no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Evmos