Vulnerabilidad en Evmos (CVE-2024-39696)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

05/07/2024

Última modificación:

07/03/2025

Descripción

Evmos es una cadena descentralizada de máquinas virtuales Ethereum en Cosmos Network. Antes de la versión 19.0.0, un usuario puede crear una cuenta de adquisición de derechos con una cuenta de un tercero (EOA o contrato) como financiador. Luego, este usuario puede crear una autorización para el contrato.CallerAddress, esta es la autorización marcada en el código. Pero los fondos se toman de la dirección del financiador proporcionada en el mensaje. En consecuencia, el usuario puede depositar fondos en una cuenta de adquisición de derechos con una cuenta de terceros sin su permiso. La dirección del financiador puede ser cualquier dirección, por lo que esta vulnerabilidad se puede utilizar para vaciar todas las cuentas de la cadena. El problema se solucionó en la versión 19.0.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto