阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
N/A
CVE-2024-32649
vyper 对 sqrt 参数执行双重评估 (CVE-2024-32649)
CVE编号
CVE-2024-32649
利用情况
暂无
补丁情况
N/A
披露时间
2024-04-26
漏洞描述
Vyper是用于以太坊虚拟机的Pythonic智能合约语言。在0.3.10版本及之前的版本中,使用`sqrt`内置函数可能会导致双重评估漏洞,当参数具有副作用时。可以看到`sqrt`内置函数的`build_IR`函数不会将参数缓存到堆栈中。因此,它可以被多次评估(而不是从堆栈中检索值)。没有发现受影响的生产合约。此外,副作用的双重评估应该在客户端测试中很容易发现。因此,影响较低。截至发布时间,尚无可用的修复版本。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/vyperlang/vyper/security/advisories/GHSA-5jrj-52x8-m64h
CVSS3评分
5.3
攻击路径
网络
攻击复杂度
低
权限要求
无
影响范围
未更改
用户交互
无
可用性
无
保密性
无
完整性
低
CWE-ID
漏洞类型
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×