CVE-2024-24560 in Vyperالمعلومات

الملخص

بحسب VulDB • 17/06/2026

Vyper هي لغة عقود ذكية ذات طابع بايثوني (Pythonic) لآلة الإيثريوم الافتراضية (EVM). عند إجراء مكالمات للعقود الخارجية، نكتب مخزن الإدخال (input buffer) بدءاً من البايت 28، ونخصص مخزن الإرجاع (return buffer) ليبدأ من البايت 0 (متداخلاً مع مخزن الإدخال). عند التحقق من حجم بيانات الإرجاع (RETURNDATASIZE) للأنواع الديناميكية، يتم مقارنة الحجم فقط بأصغر حجم مسموح به لذلك النوع، وليس بطول القيمة المُرجعة. ونتيجة لذلك، يمكن أن تؤدي البيانات المُرجعة غير الصالحة إلى ارتباك العقد في اعتبار بيانات مخزن الإدخال كبيانات إرجاع. وعندما يعيد العقد المُستدعى بيانات مشفرة بصيغة ABIv2 غير صالحة، يمكن للعقد المُجري للمكالمة قراءة بيانات غير صالحة مختلفة (من المخزن غير المُهيأ "dirty buffer") بدلاً من البيانات التي أعادها العقد المُستدعى.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub, Inc.

حجز

25/01/2024

إفشاء

02/02/2024

الاعتدال

تمت الموافقة

إدخال

VDB-252742

EPSS

0.00526

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!