CVE-2025-46834 in modular-accountinformación

Resumen

por VulDB • 2026-06-02

La cuenta modular de Alchemy es una cuenta inteligente compatible con ERC-4337 y ERC-6900. En las versiones de la rama 2.x anteriores al commit 5e6f540d249afcaeaf76ab95517d0359fde883b0, los propietarios de Cuentas Modulares podían otorgar claves de sesión (claves externas con ámbito definido) a partes externas y utilizar el módulo allowlist para restringir qué contratos externos pueden ser accedidos por la clave de sesión. Existe un error en el módulo allowlist ya que no se verifica la ruta `executeUserOp` -> `execute` o `executeBatch`, lo que efectivamente permite que cualquier clave de sesión omita las restricciones de control de acceso establecidas para dicha clave. Las claves de sesión pueden acceder a contratos de tokens ERC20 y ERC721, entre otros, transfiriendo todos los tokens fuera de la cuenta y configurando los permisos en módulos externos asociados a las claves de sesión. Podrían eliminar todas las restricciones aplicadas a sí mismas mediante este método o rotar las claves de otras cuentas con mayores privilegios hacia claves que controlen ellos mismos. El commit 5e6f540d249afcaeaf76ab95517d0359fde883b0 corrige esta vulnerabilidad.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2025-04-30

Divulgación

2025-05-15

Moderación

aceptado

Artículo

VDB-309139

CPE

listo

EPSS

0.00336

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!