Vulnerabilidad en rs-soroban-sdk de stellar (CVE-2026-32322)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/03/2026
Última modificación:
19/03/2026
Descripción
soroban-sdk es un SDK de Rust para contratos Soroban. Antes de 22.0.11, 23.5.3 y 25.3.0, los tipos Fr (campo escalar) para BN254 y BLS12-381 en soroban-sdk comparaban valores usando su representación U256 cruda sin reducir primero el módulo del módulo de campo r. Esto causó que elementos de campo matemáticamente iguales se compararan como no-iguales cuando uno o ambos valores no estaban reducidos (es decir, >= r). La vulnerabilidad requiere que un atacante suministre valores Fr manipulados a través de entradas de contrato, y los compare directamente sin pasar por operaciones aritméticas del lado del host. Los contratos inteligentes que dependen de comprobaciones de igualdad de Fr para lógica de seguridad crítica podrían producir resultados incorrectos. El impacto depende de cómo el contrato afectado utiliza las comparaciones de igualdad de Fr, pero puede resultar en decisiones de autorización incorrectas o elusión de validaciones en contratos que realizan comprobaciones de igualdad en valores escalares suministrados por el usuario. Esta vulnerabilidad está corregida en 22.0.11, 23.5.3 y 25.3.0.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:stellar:rs-soroban-sdk:*:*:*:*:*:rust:*:* | 22.0.11 (excluyendo) | |
| cpe:2.3:a:stellar:rs-soroban-sdk:*:*:*:*:*:rust:*:* | 23.0.0 (incluyendo) | 23.5.3 (excluyendo) |
| cpe:2.3:a:stellar:rs-soroban-sdk:*:*:*:*:*:rust:*:* | 25.0.0 (incluyendo) | 25.3.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página