zkvyper 忽略了循环范围界限 (CVE-2024-43366)
CVE编号
CVE-2024-43366利用情况
暂无补丁情况
N/A披露时间
2024-08-16漏洞描述
zkvyper是一种Vyper编译器。在版本1.3.12至版本1.5.3之前,由于LLL IR没有图灵不完备的限制,它会被编译成一个具有更晚退出条件的循环。如果循环体包含它,会导致资金损失或其他不希望出现的情况。但是,像遍历数组这样的更多实际应用场景不受影响。此问题并未影响任何合约,已在版本1.5.3中修复。升级和重新部署受影响合约是避免漏洞的唯一途径。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/matter-labs/era-compiler-vyper/security/advisories/GHSA-8j... |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论