Vulnerabilidad en rs-soroban-sdk de stellar (CVE-2026-24889)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-190
Desbordamiento o ajuste de enteros
Fecha de publicación:
28/01/2026
Última modificación:
02/03/2026
Descripción
`soroban-sdk` es un SDK de Rust para contratos Soroban. El desbordamiento aritmético puede activarse en los métodos `Bytes::slice`, `Vec::slice` y `Prng::gen_range` (para `u64`) en el `soroban-sdk` en versiones hasta la `25.0.1`, `23.5.1` y `25.0.2` inclusive. Los contratos que pasan límites de rango controlados por el usuario o calculados a `Bytes::slice`, `Vec::slice` o `Prng::gen_range` pueden operar silenciosamente en rangos de datos incorrectos o generar números aleatorios de un rango no deseado, lo que podría resultar en un estado de contrato corrupto. Tenga en cuenta que la mejor práctica al usar el `soroban-sdk` y construir contratos Soroban es habilitar siempre `overflow-checks = true`. La herramienta `stellar contract init` que prepara el código base para un contrato Soroban, así como todos los ejemplos y la documentación, fomentan el uso de configurar `overflow-checks = true` en perfiles de `release` para que estas operaciones aritméticas fallen en lugar de envolverse silenciosamente. Los contratos solo se ven afectados si usan `overflow-checks = false` ya sea explícita o implícitamente. Se anticipa que la mayoría de los contratos no se verían afectados porque la mejor práctica fomentada por las herramientas es habilitar `overflow-checks`. La corrección disponible en `25.0.1`, `23.5.1` y `25.0.2` reemplaza la aritmética básica con `checked_add` / `checked_sub`, asegurando que los desbordamientos se intercepten independientemente de la configuración del perfil `overflow-checks`. Como solución alternativa, los espacios de trabajo de contratos pueden configurarse con un perfil disponible en el Aviso de Seguridad de GitHub para habilitar las comprobaciones de desbordamiento en las operaciones aritméticas. Esta es la mejor práctica al desarrollar contratos Soroban, y el valor predeterminado si se utiliza el código base del contrato generado con `stellar contract init`. Alternativamente, los contratos pueden validar los límites de rango antes de pasarlos a `slice` o `gen_range` para asegurar que las conversiones no puedan desbordarse.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:stellar:rs-soroban-sdk:*:*:*:*:*:rust:*:* | 22.0.9 (excluyendo) | |
| cpe:2.3:a:stellar:rs-soroban-sdk:*:*:*:*:*:rust:*:* | 23.0.0 (incluyendo) | 23.5.1 (excluyendo) |
| cpe:2.3:a:stellar:rs-soroban-sdk:*:*:*:*:*:rust:*:* | 25.0.0 (incluyendo) | 25.0.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/stellar/rs-soroban-sdk/commit/3890521426d71bb4d892b21f5a283a1e836cfa38
- https://github.com/stellar/rs-soroban-sdk/commit/59fcef437260ed4da42d1efb357137a5c166c02e
- https://github.com/stellar/rs-soroban-sdk/commit/c2757c6d774dbb28b34a0b77ffe282e59f0f8462
- https://github.com/stellar/rs-soroban-sdk/pull/1703
- https://github.com/stellar/rs-soroban-sdk/releases/tag/v22.0.9
- https://github.com/stellar/rs-soroban-sdk/releases/tag/v23.5.1
- https://github.com/stellar/rs-soroban-sdk/releases/tag/v25.0.2
- https://github.com/stellar/rs-soroban-sdk/security/advisories/GHSA-96xm-fv9w-pf3f