CVE-2025-47285

Nome do Software Vulnerável e Versões Afetadas: Versões do Vyper até e incluindo 0.4.2rc1

Descrição: O problema surge da função concat() potencialmente ignorar a avaliação de efeitos colaterais quando o comprimento de um argumento é zero. Isso se deve a uma otimização (fastpath) na implementação que ignora a avaliação de expressões de argumento quando seu comprimento é zero. Normalmente, strings de bytes de comprimento zero são construídas com o literal vazio b"", e seria incomum que o código do usuário construísse strings de bytes de comprimento zero usando expressões com efeitos colaterais. No entanto, tais efeitos colaterais podem ser introduzidos utilizando o operador ternário, por exemplo, b"" if self.do some side effect() else b"".

Recomendações: Para versões até e incluindo 0.4.2rc1, como solução temporária (workaround), evite incluir efeitos colaterais em expressões que construem strings de bytes de comprimento zero. Atualize para a versão 0.4.2 ou posterior, que deve incluir a correção disponível no pull request 4644.