CVE-2024-27094

Опубликовано: 21 мар. 2024

Источник: nvd

CVSS3: 6.5

CVSS3: 7.4

EPSS Низкий

Описание

OpenZeppelin Contracts is a library for secure smart contract development. The Base64.encode function encodes a bytes input by iterating over it in chunks of 3 bytes. When this input is not a multiple of 3, the last iteration may read parts of the memory that are beyond the input buffer. The vulnerability is fixed in 5.0.2 and 4.9.6.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:openzeppelin:contracts:*:*:*:*:*:node.js:*:*

Версия от 4.5.0 (включая) до 4.9.6 (исключая)

cpe:2.3:a:openzeppelin:contracts:*:*:*:*:*:node.js:*:*

Версия от 5.0.0 (включая) до 5.0.2 (исключая)

cpe:2.3:a:openzeppelin:contracts_upgradeable:*:*:*:*:*:node.js:*:*

Версия от 4.5.0 (включая) до 4.9.6 (включая)

cpe:2.3:a:openzeppelin:contracts_upgradeable:*:*:*:*:*:node.js:*:*

Версия от 5.0.0 (включая) до 5.0.2 (исключая)

EPSS

Процентиль: 68%

0.00564

Низкий

6.5 Medium

CVSS3

7.4 High

CVSS3

Дефекты

CWE-125

Связанные уязвимости

GHSA-9vx6-7xxf-x967

CVSS3: 6.5

github

почти 2 года назад

OpenZeppelin Contracts base64 encoding may read from potentially dirty memory

EPSS

Процентиль: 68%

0.00564

Низкий

6.5 Medium

CVSS3

7.4 High

CVSS3

Дефекты

CWE-125