Een kritieke kwetsbaarheid is ontdekt in de OpenZeppelin Contracts library, specifiek in de functie lastIndexOf(bytes,byte,uint256) van Bytes.sol. Deze kwetsbaarheid, CVE-2025-54070, kan leiden tot out-of-bounds geheugenlezing wanneer bepaalde voorwaarden worden vervuld. Dit verhoogt het risico op onverwachte gedragingen en potentieel misbruik.
Gebruikers die versies tussen 5.2.0 en 5.4.0 gebruiken, worden aangemoedigd om hun implementaties te controleren en de update naar versie 5.4.0 te installeren voor de noodzakelijke patches.
Overzicht
De kwetsbaarheid betreft het ongeoorloofd uitlezen van geheugen buiten de gebufferde grenzen wanneer een lege buffer wordt doorgegeven en de positie niet overeenkomt met type(uint256).max. Dit kan leiden tot verkeerde indexen en zelfs systeemuitval.
Aanbevelingen
- Upgrade naar versie 5.4.0 van OpenZeppelin Contracts om de kwetsbaarheid te verhelpen. Zie officiële releasepagina.
- Controleer elk gebruik van de
lastIndexOf(bytes,byte,uint256)functie voor lege buffers en implementeer grenscontroles.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54070?
Het betreft een beveiligingslek in de OpenZeppelin Contracts library dat onjuiste geheugenlezing mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-54070?
Systemen die OpenZeppelin Contracts versies tussen 5.2.0 en 5.4.0 gebruiken zijn getroffen.
Bestaat er al een patch of beveiligingsupdate?
Ja, gebruikers moeten upgraden naar versie 5.4.0 voor de beveiligingspatch.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan misbruik maken van onverwachte geheugentoegang buiten buffergrenzen, wat kan leiden tot onbetrouwbare systeemuitvoer of crash.
