Vulnerabilidad en zkvyper (CVE-2024-43366)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/08/2024
Última modificación:
27/09/2024
Descripción
zkvyper es un compilador de Vyper. A partir de la versión 1.3.12 y antes de la versión 1.5.3, dado que LLL IR no tiene restricciones de incompletitud de Turing, se compila en un bucle con una condición de salida mucho más tardía. Conduce a una pérdida de fondos u otro comportamiento no deseado si el cuerpo del bucle lo contiene. Sin embargo, otros casos de uso de la vida real, como iterar sobre una matriz, no se ven afectados. Ningún contrato se vio afectado por este problema, que se solucionó en la versión 1.5.3. Actualizar y reimplementar los contratos afectados es la única manera de evitar la vulnerabilidad.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:matter-labs:zkvyper:*:*:*:*:*:*:*:* | 1.3.12 (incluyendo) | 1.5.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página