CVE-2024-24560 in Vyperinfo

Zusammenfassung

von VulDB • 22.06.2026

Vyper ist eine pythonische Smart-Contract-Sprache für die Ethereum Virtual Machine. Bei Aufrufen externer Verträge wird der Eingabepuffer ab Byte 28 beschrieben und der Ausgabepuffer ab Byte 0 allokiert (was zu einer Überlappung mit dem Eingabepuffer führt). Bei der Überprüfung von RETURNDATASIZE für dynamische Typen wird die Größe nur mit der minimal zulässigen Größe für diesen Typ verglichen und nicht mit der Länge des zurückgegebenen Werts. Infolgedessen kann fehlerhaft formatierte Rückgabedaten dazu führen, dass der Vertrag Daten aus dem Eingabepuffer fälschlicherweise als Rückgabedaten interpretiert. Wenn der aufgerufene Vertrag ungültige, ABIv2-kodierte Daten zurückgibt, kann der aufrufende Vertrag andere ungültige Daten (aus dem verschmutzten Puffer) lesen, als der aufgerufene Vertrag zurückgegeben hat.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

25.01.2024

Veröffentlichung

02.02.2024

Moderieren

akzeptiert

Eintrag

VDB-252742

CPE

bereit

EPSS

0.00526

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!