CVE-2024-32644 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Evmos 事务执行时,未正确处理与**预编译合约**交互后的所有**状态转换**。 💥 **后果**:导致**完整性 (I:H)** 和 **可用性 (A:H)** 严重受损,区块链状态可能被非法篡改或破坏。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:**CWE-662** (操作后未正确释放资源/状态不一致)。 📍 **缺陷点**:事务执行逻辑中,忽略了预编译交互引发的连锁状态变更,导致最终状态记录不全。
Q3影响谁?(版本/组件)
🎯 **受影响**:**Evmos** 区块链节点。 📦 **版本**:**17.0.0 之前**的所有版本。 🏢 **厂商**:Evmos。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. **篡改数据**:利用状态不一致,非法修改链上状态。 2. **破坏服务**:导致节点状态异常,影响网络可用性。 ⚠️ **权限**:无需认证 (PR:N),远程即可触发。
Q5利用门槛高吗?(认证/配置)
📉 **门槛**:**极低**。 🔑 **认证**:无需认证 (PR:N)。 🖱️ **交互**:无需用户界面 (UI:N)。 🌐 **攻击向量**:网络远程 (AV:N)。 🎲 **复杂度**:低 (AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
📂 **PoC**:数据中 **无** 现成 PoC 列表。 🌍 **在野利用**:未提及。 🔗 **参考**:GitHub Commit 和 Security Advisory 已公开,建议关注社区动态。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查节点版本是否为 **< 17.0.0**。 2. 审查代码中 `statedb.go` 第 **460-465** 行附近的逻辑。 3. 监控异常的事务执行日志,特别是涉及预编译合约的交互。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:**已修复**。 📅 **披露时间**:2024-04-19。 🔗 **补丁链接**:GitHub Commit `08982b5` 及 Security Advisory `GHSA-3fp5-2xwh-fxm6`。
Q9没补丁咋办?(临时规避)
⏳ **临时规避**: 1. **立即升级**至 **17.0.0 或更高版本**。 2. 若无法升级,暂时**限制预编译合约**的调用权限(如有配置选项)。 3. 加强节点监控,发现状态异常立即停机。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 📊 **CVSS**:**7.5** (高)。 💡 **建议**:由于涉及**完整性**和**可用性**双重高危,且无需认证,建议**立即升级**补丁,防止链上资产或状态被恶意篡改。