Vulnerabilidad en Vyper (CVE-2024-24561)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
01/02/2024
Última modificación:
09/02/2024
Descripción
Vyper es un lenguaje de contrato inteligente de python para la máquina virtual ethereum. En las versiones 0.3.10 y anteriores, la verificación de los límites para sectores no tiene en cuenta la capacidad de inicio + longitud de desbordarse cuando los valores no son literales. Si una función slice() utiliza un argumento no literal para la variable de inicio o longitud, esto crea la capacidad para que un atacante desborde la verificación de los límites. Este problema se puede utilizar para realizar acceso OOB a direcciones de almacenamiento, memoria o datos de llamada. También se puede utilizar para corromper la ranura de longitud de la matriz respectiva.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:vyperlang:vyper:*:*:*:*:*:python:*:* | 0.3.10 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página