Vulnerabilidades de OpenZeppelin Contracts de Cairo

Vulnerabilidad CVE-2023-23940 de OpenZeppelin Contracts. Lista CVE de fallos de seguridad de OpenZeppelin Contracts.

OpenZeppelin Contracts es una biblioteca para el desarrollo seguro de contratos inteligentes

4 de febrero del 2023

CVE-2023-26488: El contrato ERC721Consecutive diseñado para acuñar NFT en lotes no actualiza los saldos cuando un lote tiene tamaño 1 y consta de un solo token. Las transferencias posteriores del receptor de ese token pueden desbordar el saldo según lo informado por `balanceOf`. El problema se presenta exclusivamente con lotes de tamaño 1. El problema se solucionó en 4.8.2.
CVE-2023-23940: OpenZeppelin Contracts for Cairo es una biblioteca para el desarrollo seguro de contratos inteligentes escrita en El Cairo para StarkNet, un ZK Rollup descentralizado. A `is_valid_eth_signature` le falta una llamada a `finalize_keccak` después de llamar a `verify_eth_signature`. Como resultado, cualquier contrato que utilice `is_valid_eth_signature` de la biblioteca de cuentas (como el ajuste preestablecido `EthAccount`) es vulnerable a un secuenciador malicioso. Específicamente, el secuenciador malicioso podría eludir la validación de firmas para hacerse pasar por una instancia de estas cuentas. El problema ha sido parcheado en 0.6.1.

CVE-2023-23940 https://github.com/OpenZeppelin/cairo-contracts/security/advisories/GHSA-626q-v9j4-mcp4
CVE-2023-23940 https://github.com/OpenZeppelin/cairo-contracts/pull/542/commits/6d4cb750478fca2fd916f73297632f899aca9299

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-06. Fecha publicación el 2023-02-06. Autor: Oscar olg Mapa del sitio Fuente: cve report