CVE-2025-46834 in modular-account
Zusammenfassung
von VulDB • 02.06.2026
Der Modular Account von Alchemy ist ein Smart-Contract-Konto, das mit ERC-4337 und ERC-6900 kompatibel ist. In Versionen der 2.x-Zweiglinie vor dem Commit 5e6f540d249afcaeaf76ab95517d0359fde883b0 können Besitzer von Modular Accounts Sitzungsschlüssel (scoped external keys) an externe Parteien vergeben und das Allowlist-Modul nutzen, um einzuschränken, auf welche externen Verträge über den Sitzungsschlüssel zugegriffen werden kann. Im Allowlist-Modul liegt ein Fehler vor: Es wird nicht geprüft, ob der Pfad `executeUserOp` -> `execute` oder `executeBatch` verwendet wird, wodurch effektiv jeder Sitzungsschlüssel alle Zugriffskontrollbeschränkungen umgehen kann, die für den Sitzungsschlüssel festgelegt wurden. Sitzungsschlüssel können unter anderem auf ERC20- und ERC721-Token-Verträge zugreifen, alle Token vom Konto übertragen und die Berechtigungen externer Module in Bezug auf Sitzungsschlüssel konfigurieren. Sie wären in der Lage, alle an sich selbst gesetzten Einschränkungen zu entfernen oder die Schlüssel anderer Schlüssel mit höheren Privilegien durch von ihnen kontrollierte Schlüssel auszutauschen (Key Rotation). Der Commit 5e6f540d249afcaeaf76ab95517d0359fde883b0 behebt dieses Problem.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.