CVE-2026-45137 in anchorالمعلومات

الملخص

بحسب VulDB • 28/05/2026

Anchor هو إطار عمل يوفر عدة أدوات تطوير مريحة لكتابة برامج Solana. من الإصدار 1.0.0 وحتى قبل الإصدار 1.0.2، يؤدي خطأ منطقي إلى قبول برامج Anchor لأي معرّف برنامج (program id) عند طلب معرّف برنامج النظام، مما يسبب افتراضات خاطئة تؤدي إلى إمكانية تنفيذ استدعاءات برمجية عبر الحدود (CPI) بشكل تعسفي في البرامج التي تستدعي تعليمات برنامج النظام. في تنفيذ TryFrom> لـ Program، يتم مقارنة معرّف T مع Pubkey::default() للتحقق مما إذا كان Anchor يجب أن يسمح بأي حساب قابل للتنفيذ، أو حساباً محدداً، لأنه عند عدم توفير T، فإن T يأخذ القيمة الافتراضية ()، والتي تطبق Id::id() بإرجاع Pubkey::default(). هذا يؤدي إلى أن T = () و T = System (الذي له Pubkey::default() كمعرّف) يتصرفان بنفس الطريقة، وكلاهما يسمح بأي حساب قابل للتنفيذ. تفترض البرامج المبنية باستخدام Anchor أن وقت تشغيل Anchor يتحقق من أن البرامج الممررة من نوع Program هي بالفعل برنامج النظام. هذا الافتراض الخاطئ يمكن أن يؤدي إلى تنفيذ CPI بشكل تعسفي أو تجاوز المدفوعات عندما تحاول البرامج إجراء استدعاءات CPI إلى برنامج النظام باستخدام برنامج النظام الممرر، بسبب حقيقة أن المهاجم يمكنه تمرير أي برنامج بدلاً من برنامج النظام. تم إصلاح هذا الثغرة في الإصدار 1.0.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

08/05/2026

إفشاء

28/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366558

CPE

جاهز

CWE

CWE-697 (مؤكد)

CVSS

8.2 (CNA)

EPSS

0.00048

KEV

لا

النشاطات

منخفض

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45137
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45137
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45137/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!