Vulnerabilidad en Elrond-GO (CVE-2022-46173)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-669 Transferencia incorrecta de recursos entre esferas

Fecha de publicación:

28/12/2022

Última modificación:

07/11/2023

Descripción

Elrond-GO es una implementación del protocolo Elrond Network. Las versiones anteriores a la 1.3.50 están sujetas a un problema de procesamiento en el que los nodos se ven afectados al intentar procesar una transacción retransmitida entre fragmentos con datos de transacción de implementación de contrato inteligente. El problema era una mala correlación entre los cachés de transacciones y el componente de procesamiento. Si la transacción mencionada anteriormente se envió con más gas del requerido, el resultado del contrato inteligente (transacción SCR) que debería haber devuelto el gas sobrante, se habría agregado erróneamente a un caché que la unidad de procesamiento no consideró. El nodo dejó de certificar ante notario los bloques de metacadena. En realidad, la solución fue extender la búsqueda de transacciones SCR en todos los demás cachés si no se encontraba en el caché fragmentado correcto (esperado). No se conocen workarounds en este momento. Este problema se solucionó en la versión 1.3.50.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo