Informazioni sul CVE-2025-27105

AugAssign evaluation order causing OOB write within the object in Vyper

CWE ID: CWE-787

Base Score (CVSS): 2.3

CVE: CVE-2025-27105

Descrizione: Vyper è un linguaggio Smart Contract per l’EVM. Vyper gestisce le dichiarazioni AugAssign prima di memorizzare la posizione di destinazione per evitare la valutazione ridondante. Tuttavia, nel caso in cui la destinazione sia un accesso a un DynArray e il rhs modifica l’array, il target memorizzato verrà valutato per primo, e il controllo dei limiti non verrà ri-valutato durante la parte di scrittura dello statement. Questo problema è stato risolto in versione 0.4.1 e gli utenti sono invitati ad aggiornare. Non ci sono soluzioni note per questa vulnerabilità.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://github.com/vyperlang/vyper/security/advisories/GHSA-4w26-8p97-f4jp

Prodotti interessati

vyperlang – vyper

Relazioni con altri prodotti

Produttore:vyperlang
Prodotto: vyper
Anno: 2025
CWE: CWE-787
CVSS: 2.3