Openzeppelin Contracts-upgradable
Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
7.4
Макс. EPSS
0.00763
Распределение по критичности
Критический
0
Высокий
1
Средний
2
Низкий
0
Затронутые диапазоны версий
4.0.0–4.9.34.5.0–4.9.65.2.0–5.4.0
Также сопоставлено как (исходные строки): openzeppelin_contracts,openzeppelin_contracts-upgradable
Топ уязвимостей
CVE-2024-27094OpenZeppelin Contracts - это библиотека для безопасной разработки смарт-контрактов. Функция `Base64.encode` кодирует входные данные `bytes`, итерируя их по частям по 3 байта. Если эти входные данные не кратны 3, последняя итерация может считывать части памяти, которые находятся за пределами входного буфера. Уязвимость исправлена в версиях 5.0.2 и 4.9.6.
CVE-2025-54070В библиотеке OpenZeppelin Contracts обнаружена уязвимость в функции `lastIndexOf(bytes,byte,uint256)` библиотеки `Bytes.sol`, которая может привести к доступу к неинициализированной памяти при определенных условиях. Злоумышленник может использовать эту уязвимость для вызова неожиданного поведения [1].
Источники:
- [1] https://github.com/OpenZeppelin/openzeppelin-contracts/security/advisories/GHSA-9rcw-c2f9-2j55
- [2] https://github.com/OpenZeppelin/openzeppelin-contracts/releases/tag/v5.4.0
CVE-2023-40014OpenZeppelin Contracts — это библиотека для безопасной разработки смарт-контрактов. Начиная с версии 4.0.0 и до версии 4.9.3, контракты, использующие `ERC2771Context` вместе с пользовательским доверенным пересыльщиком, могут видеть, что `_msgSender` возвращает `address(0)` в вызовах, которые исходят от пересыльщика с calldata короче 20 байт. Это сочетание обстоятельств не является распространенным, в частности, это не относится к `MinimalForwarder` из OpenZeppelin Contracts или любому развернутому пересыльщику, о котором известно команде, учитывая, что адрес подписывающего лица добавляется ко всем вызовам, которые исходят от этих пересыльщиков. Проблема была исправлена в версии 4.9.3.