Informazioni sul CVE-2025-21607
Success of Certain Precompile Calls not Checked in Vyper
CWE ID: CWE-670
Base Score (CVSS): 2.3
CVE: CVE-2025-21607
Descrizione: Vyper è un linguaggio di Smart Contract per EVM. Quando il compilatore Vyper usa il precompilatore EcRecover (0x1) e Identity (0x4), il flag di successo della chiamata non viene controllato. Di conseguenza, un attaccante può fornire una quantità specifica di gas per far fallire queste chiamate, ma permettere al programma di continuare. Il risultato di esecuzione può essere errato. In base alle regole EVM, dopo la precompilazione fallita, il codice rimanente ha solo il 1/64 della gas pre-call (63/64 sono stati trasferiti e spesi). Pertanto, solo esecuzioni semplici possono seguire le chiamate precompilate fallite. Di conseguenza, non sono stati trovati contratti realimente impattati. Tuttavia, è stata emessa un’avvertenza per precauzione. Non ci sono azioni da intraprendere per gli utenti.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- vyperlang – vyper
Relazioni con altri prodotti
Produttore:vyperlang
Prodotto: vyper
Anno: 2025
CWE: CWE-670
CVSS: 2.3