VDB-255308 · CVE-2024-27094 · GHSA-9vx6-7xxf-x967

OpenZeppelin openzeppelin-contracts 直到 4.9.5/5.0.0-rc0 Base64.encode 信息公开

CVSS 元临时分数	当前攻击价格 (≈)	CTI兴趣分数
5.8	$0-$5k	0.00

摘要信息

发现了一个被归类为棘手的漏洞，存在于OpenZeppelin openzeppelin-contracts 直到 4.9.5/5.0.0-rc0。受影响的是函数Base64.encode。在被操纵的情况下，会引发信息公开。该安全漏洞被称为CVE-2024-27094。远程可以启动攻击，不存在可用的漏洞利用。建议将受影响的组件升级。

发现了一个被归类为棘手的漏洞，存在于OpenZeppelin openzeppelin-contracts 直到 4.9.5/5.0.0-rc0。受影响的是函数Base64.encode。在被操纵的情况下，会引发信息公开。利用 CWE 标识该问题会跳转到 CWE-125。此漏洞的脆弱性 2024-02-29公示人身份GHSA-9vx6-7xxf-x967、所披露。您可以在 github.com 下载该通告。

该安全漏洞被称为CVE-2024-27094。 2024-02-19是CVE分配的时间。远程可以启动攻击，技术细节已提供。此攻击的复杂程度较高。该漏洞的利用被认为较为困难。此漏洞的流行程度低于一般水平。不存在可用的漏洞利用。当前，大致为 USD $0-$5k。

若长度存在，则声明为未定义。该0day漏洞在地下市场的估算价格大约是$0-$5k。

通过升级至 4.9.6 , 5.0.2 版本可以消除此问题。补丁名称为2d081f24cac1a867f6f73d512f2022e1fa987854。错误修复程序下载地址为github.com，建议将受影响的组件升级。

产品信息

供应商

OpenZeppelin

名称

openzeppelin-contracts

版本

许可证

开源

网站

产品: https://github.com/OpenZeppelin/openzeppelin-contracts/

CPE 2.3信息

CPE 2.2信息

CVSSv4信息

VulDB 向量: 🔍
VulDB 可靠性: 🔍

CVSSv3信息

VulDB 元基础分数: 5.9
VulDB 元临时分数: 5.8

VulDB 基本分数: 3.7
VulDB 临时得分: 3.6
VulDB 向量: 🔍
VulDB 可靠性: 🔍

NVD 基本分数: 7.4
NVD 向量: 🔍

CNA 基本分数: 6.5
CNA 向量 (GitHub, Inc.): 🔍