中危 vyperlang vyper-0.3.0授权检查错误漏洞(CVE-2023-39363)
CVE编号
CVE-2023-39363利用情况
暂无补丁情况
官方补丁披露时间
2023-08-08漏洞描述
Vyer 是用于以太坊虚拟机 (EVM) 的 Pythonic 智能合约语言。在版本 0.2.15、0.2.16 和 0.3.0 中,命名重入锁被错误分配。每个使用命名重入锁的函数都会得到一个唯一的锁,而不管其键值,从而在编译有漏洞版本的合约中允许跨函数的重入。需要特定的一组条件才会导致受影响的合约出现错误行为,具体地说:使用版本为 `0.2.15`、`0.2.16` 或 `0.3.0` 的 `vyper` 编译的 `.vy` 合约;一个使用具有特定 `key` 的 `@nonreentrant` 修饰符的主函数,而且在更新存储之前包含对不可信任方的外部调用而没有严格遵循检查-效果-交互模式;一个使用相同 `key` 的次要函数,会受到主函数造成的不正确状态的影响。版本 0.3.1 中包含了针对此问题的修复。解决建议
"将组件 vyper 升级至 0.3.1 及以上版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | vyperlang | vyper | 0.2.15 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | vyperlang | vyper | 0.2.16 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | vyperlang | vyper | 0.3.0 | - | |||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 管控权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-863 | 授权机制不正确 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论