一、 漏洞 CVE-2025-62370 基础信息
漏洞信息
                                        # Alloy Core `alloy_dyn_abi::TypedData` DoS漏洞

## 概述

Alloy Core 是 Rust 语言中以太坊生态的核心库之一。该库在处理 EIP-712 类型数据签名哈希时存在一个未捕获的 panic,可能导致拒绝服务(DoS)漏洞。

## 影响版本

- 所有版本低于 **v0.8.26**
- 所有版本低于 **v1.4.1**

## 漏洞细节

当调用 `eip712_signing_hash()` 函数处理 `alloy_dyn_abi::TypedData` 时,若输入数据格式不正确,特别是在数组为空时访问其首个元素,会导致程序 panic。
此 panic 未被正确捕获,可能引发服务中断。

## 影响

此漏洞可被利用造成服务崩溃,影响高可用性要求的系统(如网络服务)。若没有外部自动重启机制,服务将面临显著的可用性风险。

## 修复

- 在访问数组前增加判空检查,若数组为空则返回错误而非 panic。
- 修复已包含在 **v1.4.1**,并回溯到 **v0.8.26**。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Alloy Core has a DoS vulnerability on `alloy_dyn_abi::TypedData` hashing
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Alloy Core libraries at the root of the Rust Ethereum ecosystem. Prior to 0.8.26 and 1.4.1, an uncaught panic triggered by malformed input to alloy_dyn_abi::TypedData could lead to a denial-of-service (DoS) via eip712_signing_hash(). Software with high availability requirements such as network services may be particularly impacted. If in use, external auto-restarting mechanisms can partially mitigate the availability issues unless repeated attacks are possible. The vulnerability was patched by adding a check to ensure the element is not empty before accessing its first element; an error is returned if it is empty. The fix is included in version v1.4.1 and backported to v0.8.26.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
未捕获的异常
来源:美国国家漏洞数据库 NVD
漏洞标题
Alloy 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Alloy是Alloy开源的一个Rust中的库。 Alloy 0.8.26之前版本和1.4.1之前版本存在安全漏洞,该漏洞源于alloy_dyn_abi::TypedData对畸形输入处理不当,可能导致拒绝服务攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62370 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62370 的情报信息

  • 标题: alloy-dyn-abi - crates.io: Rust Package Registry -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    alloy-dyn-abi - crates.io: Rust Package Registry

  • 标题: alloy-dyn-abi - crates.io: Rust Package Registry -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    alloy-dyn-abi - crates.io: Rust Package Registry

  • 标题: RUSTSEC-2025-0073: alloy-dyn-abi: DoS vulnerability on `alloy_dyn_abi::TypedData` hashing › RustSec Advisory Database -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    RUSTSEC-2025-0073: alloy-dyn-abi: DoS vulnerability on `alloy_dyn_abi::TypedData` hashing › RustSec Advisory Database

  • 标题: DoS vulnerability on `alloy_dyn_abi::TypedData` hashing · Advisory · alloy-rs/core · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    DoS vulnerability on `alloy_dyn_abi::TypedData` hashing · Advisory · alloy-rs/core · GitHub

  • 标题: Merge commit from fork · alloy-rs/core@7823e9a · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Merge commit from fork · alloy-rs/core@7823e9a · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-62370
四、漏洞 CVE-2025-62370 的评论

暂无评论

发表评论