Plattform
rust
Komponente
nimiq/core-rs-albatross
Behoben in
1.3.1
CVE-2026-32605 describes a denial-of-service (DoS) vulnerability discovered in Nimiq Core Rust Albatross, a Rust implementation of the Nimiq Proof-of-Stake protocol. This flaw allows a malicious peer to crash a validator node by exploiting a bounds check error in the proposal handling process. The vulnerability affects versions of Nimiq Core Rust Albatross prior to 1.3.0, and a fix has been released in version 1.3.0.
Die CVE-2026-32605-Schwachstelle in core-rs-albatross, einer Rust-Implementierung des Nimiq Proof-of-Stake-Protokolls basierend auf dem Albatross-Konsensalgorithmus, ermöglicht einem nicht vertrauenswürdigen Peer, einen Validator zum Absturz zu bringen. Dies wird erreicht, indem eine signierte Tendermint-Vorschlagsnachricht veröffentlicht wird, bei der der Signierer der Anzahl der Validatoren entspricht. Die Ursache liegt in einer fehlerhaften Validierungslogik innerhalb von ProposalSender::send, wo der Operator ‘>’ anstelle von ‘>=’ verwendet wird, um die Signierer-Grenzen zu überprüfen. Dies ermöglicht dem Gleichheitsszenario, zu passieren, was zu einem Aufruf von validators.getvalidatorbyslotband(signer) führt, was zu einem Panic aufgrund eines Index außerhalb des gültigen Bereichs führt. Die CVSS-Punktzahl für diese Schwachstelle beträgt 7,5, was ein moderat hohes Risiko anzeigt. Eine erfolgreiche Ausnutzung könnte den Validatorbetrieb stören und potenziell die Integrität des Nimiq-Netzwerks beeinträchtigen.
Ein bösartiger Angreifer könnte diese Schwachstelle ausnutzen, indem er eine signierte Tendermint-Vorschlagsnachricht mit einem Signierer sendet, der der Gesamtzahl der Validatoren entspricht. Da der Code keine ausreichende Validierung durchführt, versucht er, auf einen ungültigen Index in der Validiertabelle zuzugreifen, was zu einem Panic und dem Absturz des Validators führt. Der Schwierigkeitsgrad der Ausnutzung hängt von der Fähigkeit des Angreifers ab, gültige Tendermint-Vorschlagsnachrichten zu generieren und zu signieren und diese an das Netzwerk zu senden. Die Auswirkungen der Ausnutzung können je nach Anzahl der betroffenen Validatoren und der Bedeutung dieser Validatoren innerhalb des Netzwerks variieren. Eine erfolgreiche Ausnutzung könnte zu Dienstunterbrechungen und potenziell zur Gefährdung der Netzwerksicherheit führen.
Nimiq Core Rust Albatross validator nodes running versions prior to 1.3.0 are directly at risk. This includes individuals and organizations operating validator nodes within the Nimiq network, particularly those who haven't implemented robust network security measures or are running older, unpatched versions of the software.
• rust / server:
# Check for version < 1.3.0
cargo version• rust / supply-chain:
# Inspect Cargo.toml for dependencies and versions
cat Cargo.toml | grep nimiqdisclosure
Exploit-Status
EPSS
0.06% (17% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, auf Version 1.3.0 oder höher von core-rs-albatross zu aktualisieren. Diese Version behebt die fehlerhafte Validierungslogik und stellt sicher, dass sich der Signierer innerhalb der gültigen Grenzen befindet, bevor auf die Validiertabelle zugegriffen wird. Alle Validator-Betreiber werden dringend gebeten, ihre Knoten so schnell wie möglich auf die neueste Version zu aktualisieren, um das Risiko einer Ausnutzung zu mindern. Darüber hinaus ist es wichtig, die Protokolle des Knotens auf verdächtige Aktivitäten zu überwachen, die eine Ausnutzungsversuch andeuten könnten. Das Update sollte gemäß den von Nimiq bereitgestellten Update-Anweisungen durchgeführt werden. Die zeitnahe Anwendung dieses Patches ist entscheidend, um die Sicherheit und Stabilität des Nimiq-Netzwerks aufrechtzuerhalten.
Actualice a la versión 1.3.0 o posterior para corregir la vulnerabilidad. Esta versión corrige la comprobación de límites incorrecta en el buffer de propuesta, evitando que un par peer malicioso pueda causar un fallo en el validador.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine Rust-Implementierung des Nimiq Proof-of-Stake-Protokolls, basierend auf dem Albatross-Konsensalgorithmus.
Die Schwachstelle könnte zu Dienstunterbrechungen und potenziell zur Gefährdung der Netzwerksicherheit führen, obwohl die direkte Auswirkung auf Benutzer indirekt ist.
Aktualisieren Sie Ihren Knoten auf Version 1.3.0 oder höher von core-rs-albatross so schnell wie möglich.
Überwachen Sie die Protokolle Ihres Knotens auf verdächtige Aktivitäten, wie z. B. unerwartete Panics oder Fehlermeldungen im Zusammenhang mit der Validierung.
Lesen Sie die Sicherheitsmitteilung von Nimiq und den CVE-Eintrag in der Schwachstellendatenbank.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Cargo.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.