CVE-2026-45137

Nome do Software Vulnerável e Versões Afetadas anchor-lang versões anteriores a 1.0.2

Descrição Um erro de lógica no processo de validação de contas permite que programas aceitem qualquer ID de programa executável quando o ID do programa do sistema é exigido. Isso ocorre porque o caminho de validação para Program<T> utilizava Pubkey::default() como um sentinela para determinar se qualquer conta executável deveria ser aceita. Como o ID do programa do sistema também é a chave pública padrão, o Program<'info, System> era incorretamente tratado como um programa não tipado, aceitando qualquer conta executável.

Esta falha de validação de conta afeta programas on-chain que dependem do programa do sistema, podendo levar a Invocações de Programas Cruzados (CPI) arbitrárias ou bypass de pagamentos. Um invasor pode fornecer um programa executável malicioso em vez do programa do sistema, fazendo com que o programa vítima tome suposições falsas sobre pagamentos ou criação de contas.

Recomendações Atualize para a versão 1.0.2 ou posterior do anchor-lang.