V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2024-32481
ANC
Средний

Vyper — это pythonic язык смарт-контрактов для виртуальной машины Ethereum. Начиная с версии 0.3.8 и до версии 0.4.0b1, при цикле по `range…

CVSS
5.3
Средний
EPSS
0.01
p51
Опубликовано
2024-01-01
Обновлено
2024-01-01
Описание

Vyper — это pythonic язык смарт-контрактов для виртуальной машины Ethereum. Начиная с версии 0.3.8 и до версии 0.4.0b1, при цикле по `range` формы `range(start, start + N)`, если `start` отрицательный, выполнение всегда будет возвращаться. Эта проблема вызвана некорректным утверждением, вставленным кодогенерацией диапазона `stmt.parse_For_range()`. Проблема возникает, когда `start` является знаковым, вместо использования `sle` используется `le`, и `start` интерпретируется как целое число без знака для сравнения. Если это отрицательное число, его 255-й бит установлен в `1` и, следовательно, интерпретируется как очень большое целое число без знака, что приводит к тому, что утверждение всегда завершается неудачей. Затронут любой контракт, имеющий `range(start, start + N)`, где `start` является целым числом со знаком с возможностью того, что `start` будет отрицательным. Если вызов проходит через цикл, предоставляя отрицательный `start`, выполнение будет возвращаться. Версия 0.4.0b1 исправляет эту проблему.

Теги · CWE
Без аутентификации
CWE-681
Затронутые продукты
Vyper 0.3.8–0.3.10Vyper
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Хронология
2024-01-01
Опубликована
2024-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: N
Отсутствует (N)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.008 · p51
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
vyper*Отслеживается
Источники данных
ANC
CVE