Vulnerabilidad en el módulo "GovernorVotesQuorumFraction" en OpenZeppelin Contracts (CVE-2022-31198)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/08/2022
Última modificación:
06/12/2022
Descripción
OpenZeppelin Contracts es una biblioteca para el desarrollo de contratos inteligentes seguros. Este problema afecta a las instancias de Governor que usan el módulo "GovernorVotesQuorumFraction", un mecanismo que determina los requisitos de quórum como un porcentaje del suministro total del token de votación. En las instancias afectadas, cuando es aprobada una propuesta para reducir los requisitos de quórum, las propuestas anteriores pueden volverse ejecutables si habían sido derrotadas sólo por falta de quórum, y el número de votos que recibió cumple con el nuevo requisito de quórum. El análisis de las instancias en la cadena encontró sólo una propuesta que cumplía esta condición, y estamos monitoreando activamente para nuevas ocurrencias de este problema en particular. Este problema ha sido corregido en versión 4.7.2. Es recomendado a usuarios actualizar. Los usuarios que no puedan actualizarse deberían considerar la posibilidad de no reducir los requisitos de quórum si una propuesta anterior fue rechazada por falta de quórum
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openzeppelin:contracts:*:*:*:*:*:node.js:*:* | 4.3.0 (incluyendo) | 4.7.2 (excluyendo) |
| cpe:2.3:a:openzeppelin:contracts_upgradeable:*:*:*:*:*:node.js:*:* | 4.3.0 (incluyendo) | 4.7.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página