PT-2026-38662 · Ultradag · Ultradag
Sumitshah00
·
Publicado
2026-05-08
·
Atualizado
2026-05-19
·
CVE-2026-42278
CVSS v4.0
8.8
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
UltraDAG versões anteriores ao commit fb6ef59
Descrição
A implementação do StateEngine para SmartTransferTx contém uma falha de lógica em seu pipeline de aplicação de políticas. Quando uma transação se origina de um "Pocket" (um subendereço derivado usado para organizar fundos), o mecanismo falha ao resolver a conta pai do pocket antes de verificar a política de gastos. Como os pockets são endereços virtuais que existem apenas no mapa
pocket to parent e não possuem suas próprias entradas SmartAccountConfig, a função check spending policy() retorna um resultado autorizado por padrão. Isso permite que um invasor com a chave pai ignore restrições de gastos, como atrasos de cofre ou limites diários, e esvazie todos os pockets associados a uma conta.Recomendações
Atualize para a versão que contém o commit fb6ef59.
Exploit
Correção
IDOR
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ultradag