Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Vyper (CVE-2024-24561)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-787 Escritura fuera de límites
Fecha de publicación:
01/02/2024
Última modificación:
09/02/2024

Descripción

Vyper es un lenguaje de contrato inteligente de python para la máquina virtual ethereum. En las versiones 0.3.10 y anteriores, la verificación de los límites para sectores no tiene en cuenta la capacidad de inicio + longitud de desbordarse cuando los valores no son literales. Si una función slice() utiliza un argumento no literal para la variable de inicio o longitud, esto crea la capacidad para que un atacante desborde la verificación de los límites. Este problema se puede utilizar para realizar acceso OOB a direcciones de almacenamiento, memoria o datos de llamada. También se puede utilizar para corromper la ranura de longitud de la matriz respectiva.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:vyperlang:vyper:*:*:*:*:*:python:*:* 0.3.10 (incluyendo)