Informazioni sul CVE-2024-32649
vyper performs double eval of the argument of sqrt
CWE ID: CWE-95
Base Score (CVSS): N/A
CVE: CVE-2024-32649
Descrizione: Vyper è un linguaggio di Programmazione Smart Contract per la macchina virtuale Ethereum. In versioni 0.3.10 e precedenti, quando si usa `sqrt` e l’argomento ha effetti collaterali, si verifica una vulnerabilità di valutazione doppia. Si nota che la funzione `build_IR` del `sqrt` non memorizza l’argomento nello stack. Di conseguenza, può essere valutata più volte (invece di recuperare il valore dallo stack). Non sono stati trovati contratti di produzione vulnerabili. Inoltre, la valutazione doppia di effetti collaterali dovrebbe essere facilmente scoperta nei test client. Pertanto, l’impatto è basso. A tempo della pubblicazione, non sono disponibili versioni fisse.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
Prodotti interessati
- vyperlang – vyper
Relazioni con altri prodotti
Produttore:vyperlang
Prodotto: vyper
Anno: 2024
CWE: CWE-95
CVSS: 0.0