Vulnerabilidad en OpenZeppelin Contracts for Cairo (CVE-2022-31153)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/07/2022
Última modificación:
22/07/2022
Descripción
OpenZeppelin Contracts for Cairo es una biblioteca para el desarrollo de contratos escrita en Cairo para StarkNet, un ZK Rollup descentralizado. La versión 0.2.0 es vulnerable a un error que hace que los contratos de cuentas sean inusables en las redes vivas. Este problema afecta a todas las cuentas (sabores vanilla y ethereum) en la versión v0.2.0 de OpenZeppelin Contracts for Cairo, que no están en la lista blanca de la red principal de StarkNet. Sólo están afectadas las implementaciones goerli de las cuentas de la versión v0.2.0. Este comportamiento fallido no es observado en el marco de pruebas de StarkNet. Este bug ha sido parcheado en versión v0.2.1
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openzeppelin:contracts:0.2.0:*:*:*:*:cairo:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/OpenZeppelin/cairo-contracts/blob/release-0.2.0/src/openzeppelin/account/library.cairo#L203
- https://github.com/OpenZeppelin/cairo-contracts/commit/2cd60279c3332285d47edf9ee3888b71257acdc9
- https://github.com/OpenZeppelin/cairo-contracts/issues/386
- https://github.com/OpenZeppelin/cairo-contracts/pull/387
- https://github.com/OpenZeppelin/cairo-contracts/releases/tag/v0.2.1
- https://github.com/OpenZeppelin/cairo-contracts/security/advisories/GHSA-8mjr-jr5h-q2xr