CVE-2025-46834 in modular-accountالمعلومات

الملخص

بحسب VulDB • 11/06/2026

يُعد حساب Modular Account من Alchemy حساب عقد ذكي متوافق مع معايير ERC-4337 وERC-6900. في الإصدارات التابعة للفرع 2.x السابقة للإصدار commit 5e6f540d249afcaeaf76ab95517d0359fde883b0، يمكن لمالكي حسابات Modular Account منح مفاتيح الجلسة (مفاتيح خارجية محدودة النطاق) لأطراف خارجية، وكانوا يستخدمون وحدة قائمة المسموحين بها (allowlist module) للتحكم في العقود الخارجية التي يُسمح بمعالجتها بواسطة مفتاح الجلسة. يوجد خلل في وحدة قائمة المسموحين بها يتمثل في عدم التحقق من مسار `executeUserOp` -> `execute` أو `executeBatch`، مما يسمح فعلياً لأي مفتاح جلسة بتجاوز قيود التحكم في الوصول المحددة على مفتاح الجلسة. يمكن لمفاتيح الجلسة الوصول إلى عقود الرموز المميزة (tokens) مثل ERC20 وERC721 وغيرها، ونقل جميع الرموز من الحساب وإعداد أذونات الوحدات الخارجية الخاصة بمفاتيح الجلسة. وبهذه الطريقة، سيكونون قادرين على إزالة جميع القيود المفروضة عليهم أو تدوير مفاتيح أخرى ذات امتيازات أعلى إلى مفاتيح يتحكمون فيها. يُصلح الإصدار commit 5e6f540d249afcaeaf76ab95517d0359fde883b0 هذه المشكلة.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

30/04/2025

إفشاء

15/05/2025

الاعتدال

تمت الموافقة

إدخال

VDB-309139

EPSS

0.00336

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!