Vyper 对内置 `slice()` 函数的边界检查可能会溢出 (CVE-2024-24561)
CVE编号
CVE-2024-24561利用情况
暂无补丁情况
N/A披露时间
2024-02-02漏洞描述
Vyper是以Python为基础的以太坊虚拟机的智能合约语言。在0.3.10及之前的版本中,切片的边界检查无法防止start + length溢出的情况,当参数不是字面量时。如果slice()函数的start或length变量使用的是非字面量参数,这就会导致攻击者能够溢出边界检查。该漏洞可被用于进行对storage、memory或calldata地址的OOB访问。它还可以被用于破坏相应数组的长度(slot)。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-119 | 内存缓冲区边界内操作的限制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论