CVE-2024-24559

Vyper is a Pythonic Smart Contract Language for the EVM. There is an error in the stack management when compiling the `IR` for `sha3_64`. Concretely, the `height` variable is miscalculated. The vulnerability can't be triggered without writing the `IR` by hand (that is, it cannot be triggered from regular vyper code). `sha3_64` is used for retrieval in mappings. No flow that would cache the `key` was found so the issue shouldn't be possible to trigger when compiling the compiler-generated `IR`. This issue isn't triggered during normal compilation of vyper code so the impact is low. At the time of publication there is no patch available.
Configurations

Configuration 1 (hide)

cpe:2.3:a:vyperlang:vyper:*:*:*:*:*:python:*:*

History

12 Feb 2024, 21:40

Type Values Removed Values Added
CVSS v2 : unknown
v3 : 3.7
v2 : unknown
v3 : 5.3
Summary
  • (es) Vyper es un lenguaje de contrato inteligente pitónico para EVM. Hay un error en la gestión de la pila al compilar el `IR` para `sha3_64`. En concreto, la variable "altura" está mal calculada. La vulnerabilidad no se puede activar sin escribir el `IR` a mano (es decir, no se puede activar desde un código vyper normal). `sha3_64` se utiliza para la recuperación en asignaciones. No se encontró ningún flujo que almacenara en caché la "clave", por lo que no debería ser posible desencadenar el problema al compilar el "IR" generado por el compilador. Este problema no se activa durante la compilación normal del código vyper, por lo que el impacto es bajo. Al momento de publicación no hay ningún parche disponible.
First Time Vyperlang vyper
Vyperlang
CPE cpe:2.3:a:vyperlang:vyper:*:*:*:*:*:python:*:*
References () https://github.com/vyperlang/vyper/blob/c150fc49ee9375a930d177044559b83cb95f7963/vyper/ir/compile_ir.py#L585-L586 - () https://github.com/vyperlang/vyper/blob/c150fc49ee9375a930d177044559b83cb95f7963/vyper/ir/compile_ir.py#L585-L586 - Product
References () https://github.com/vyperlang/vyper/security/advisories/GHSA-6845-xw22-ffxv - () https://github.com/vyperlang/vyper/security/advisories/GHSA-6845-xw22-ffxv - Vendor Advisory

05 Feb 2024, 21:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-02-05 21:15

Updated : 2024-02-12 21:40


NVD link : CVE-2024-24559

Mitre link : CVE-2024-24559

CVE.ORG link : CVE-2024-24559


JSON object : View

Products Affected

vyperlang

  • vyper
CWE
CWE-327

Use of a Broken or Risky Cryptographic Algorithm