Vulnerabilidad en Polkadot Frontier (CVE-2025-54429)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-704
Conversión de tipos errónea
Fecha de publicación:
28/07/2025
Última modificación:
29/07/2025
Descripción
Polkadot Frontier es una capa de compatibilidad con Ethereum y EVM para Polkadot y Substrate. Existen varios tipos de direcciones de cuenta en Frontier, como contratos precompilados, contratos inteligentes y cuentas externas. Por seguridad, algunos mecanismos de EVM deberían ser inaccesibles para ciertos tipos de cuentas. Para que las precompilaciones sean invocables por contratos inteligentes, deben configurarse explícitamente como CallableByContract. Si esta configuración no está presente, la precompilación debería ser inaccesible a través de cuentas de contratos inteligentes. En commits anteriores a la 0822030, la implementación subyacente de CallableByContract que devolvía el tipo de dirección era incorrecta. Consideraba que la dirección del contrato que se ejecutaba bajo CREATE o CREATE2 era AddressType::EOA en lugar de la correcta AddressType::Contract. El problema solo afecta a los usuarios que usan implementaciones de precompilación personalizadas que utilizan AddressType::EOA y AddressType::Contract. No se puede explotar directamente en ninguna de las precompilaciones predefinidas de Frontier. Esto se solucionó en la versión 0822030.
Impacto
Puntuación base 4.0
6.90
Gravedad 4.0
MEDIA