プラットフォーム
rust
コンポーネント
nimiq/core-rs-albatross
修正版
1.3.1
CVE-2026-32605 describes a denial-of-service (DoS) vulnerability discovered in Nimiq Core Rust Albatross, a Rust implementation of the Nimiq Proof-of-Stake protocol. This flaw allows a malicious peer to crash a validator node by exploiting a bounds check error in the proposal handling process. The vulnerability affects versions of Nimiq Core Rust Albatross prior to 1.3.0, and a fix has been released in version 1.3.0.
core-rs-albatrossにおけるCVE-2026-32605の脆弱性は、Nimiq Proof-of-Stakeプロトコル(Albatrossコンセンサスアルゴリズムに基づく)のRust実装において、信頼できないピアがバリデータクラッシュを引き起こすことを可能にします。これは、署名者がバリデータの総数と等しい署名されたTendermint提案メッセージを公開することで実現されます。根本原因は、ProposalSender::send内の検証ロジックの欠陥にあります。ここで、署名者境界をチェックする際に ‘>’ 演算子ではなく ‘>=’ 演算子が使用されています。これにより、等価ケースが通過し、validators.getvalidatorbyslotband(signer)への呼び出しにつながり、範囲外のインデックスによるパニックが発生します。この脆弱性のCVSSスコアは7.5で、中程度のリスクを示しています。 悪意のある攻撃者がこの脆弱性を悪用すると、バリデータの操作が中断され、Nimiqネットワークの整合性が損なわれる可能性があります。
悪意のある攻撃者は、合計バリデータ数と一致する署名者を持つ署名されたTendermint提案メッセージを送信することにより、この脆弱性を悪用する可能性があります。コードが適切な検証を行わないため、バリデータテーブル内の無効なインデックスにアクセスしようとし、パニックを引き起こしてバリデータがクラッシュします。悪用の難易度は、攻撃者が有効なTendermint提案メッセージを生成および署名し、ネットワークに送信する能力に依存します。悪用の影響は、影響を受けるバリデータの数と、ネットワーク内のこれらのバリデータの重要度によって異なります。悪意のある攻撃者がこの脆弱性を悪用すると、サービスの中断が発生し、ネットワークのセキュリティが損なわれる可能性があります。
Nimiq Core Rust Albatross validator nodes running versions prior to 1.3.0 are directly at risk. This includes individuals and organizations operating validator nodes within the Nimiq network, particularly those who haven't implemented robust network security measures or are running older, unpatched versions of the software.
• rust / server:
# Check for version < 1.3.0
cargo version• rust / supply-chain:
# Inspect Cargo.toml for dependencies and versions
cat Cargo.toml | grep nimiqdisclosure
エクスプロイト状況
EPSS
0.06% (17% パーセンタイル)
CISA SSVC
この脆弱性に対する解決策は、core-rs-albatrossをバージョン1.3.0以降にアップグレードすることです。このバージョンは、検証ロジックの欠陥を修正し、バリデータテーブルにアクセスする前に署名者が有効な境界内にあることを確認します。すべてのバリデータオペレーターは、脆弱性の悪用リスクを軽減するために、できるだけ早くノードを最新バージョンにアップグレードすることを強く推奨します。さらに、悪用試行を示唆する可能性のある疑わしいアクティビティがないか、ノードログを監視することが重要です。アップグレードは、Nimiqチームが提供するアップグレード手順に従って実行する必要があります。このパッチのタイムリーな適用は、Nimiqネットワークのセキュリティと安定性を維持するために不可欠です。
Actualice a la versión 1.3.0 o posterior para corregir la vulnerabilidad. Esta versión corrige la comprobación de límites incorrecta en el buffer de propuesta, evitando que un par peer malicioso pueda causar un fallo en el validador.
脆弱性分析と重要アラートをメールでお届けします。
これは、Albatrossコンセンサスアルゴリズムに基づくNimiq Proof-of-StakeプロトコルのRust実装です。
この脆弱性は、サービスの中断を引き起こし、ネットワークのセキュリティを損なう可能性がありますが、ユーザーへの直接的な影響は間接的です。
できるだけ早くcore-rs-albatrossをバージョン1.3.0以降にアップグレードしてください。
検証に関連する予期しないパニックやエラーメッセージなど、疑わしいアクティビティがないか、ノードログを監視してください。
Nimiqのセキュリティアドバイザリと脆弱性データベースのCVEエントリを参照してください。
CVSS ベクトル
Cargo.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。