Plataforma
rust
Componente
nimiq/core-rs-albatross
Corrigido em
1.3.1
CVE-2026-32605 describes a denial-of-service (DoS) vulnerability discovered in Nimiq Core Rust Albatross, a Rust implementation of the Nimiq Proof-of-Stake protocol. This flaw allows a malicious peer to crash a validator node by exploiting a bounds check error in the proposal handling process. The vulnerability affects versions of Nimiq Core Rust Albatross prior to 1.3.0, and a fix has been released in version 1.3.0.
A vulnerabilidade CVE-2026-32605 em core-rs-albatross, uma implementação em Rust do protocolo Proof-of-Stake da Nimiq baseado no algoritmo de consenso Albatross, permite que um peer não confiável cause uma falha em um validador. Isso é alcançado publicando uma mensagem de proposta Tendermint assinada onde o signatário (signer) é igual ao número total de validadores. A causa raiz reside em uma lógica de validação defeituosa dentro de ProposalSender::send, onde o operador ‘>’ é usado em vez de ‘>=’ ao verificar os limites do signatário. Isso permite que o caso de igualdade passe, levando a uma chamada para validators.getvalidatorbyslotband(signer), resultando em um pânico devido a um índice fora dos limites. A pontuação CVSS para esta vulnerabilidade é 7,5, indicando um risco moderadamente alto. A exploração bem-sucedida pode interromper a operação do validador e potencialmente impactar a integridade da rede Nimiq.
Um atacante malicioso pode explorar esta vulnerabilidade enviando uma mensagem de proposta Tendermint assinada com um signatário que corresponda ao número total de validadores. Como o código não realiza uma validação adequada, ele tentará acessar um índice inválido na tabela de validadores, levando a um pânico e a falha do validador. A dificuldade de exploração depende da capacidade do atacante de gerar e assinar mensagens de proposta Tendermint válidas e enviá-las para a rede. O impacto da exploração pode variar dependendo do número de validadores afetados e da importância desses validadores dentro da rede. A exploração bem-sucedida pode causar interrupções no serviço e potencialmente comprometer a segurança da rede.
Nimiq Core Rust Albatross validator nodes running versions prior to 1.3.0 are directly at risk. This includes individuals and organizations operating validator nodes within the Nimiq network, particularly those who haven't implemented robust network security measures or are running older, unpatched versions of the software.
• rust / server:
# Check for version < 1.3.0
cargo version• rust / supply-chain:
# Inspect Cargo.toml for dependencies and versions
cat Cargo.toml | grep nimiqdisclosure
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar para a versão 1.3.0 ou superior de core-rs-albatross. Esta versão corrige a lógica de validação defeituosa, garantindo que o signatário esteja dentro dos limites válidos antes de acessar a tabela de validadores. Todos os operadores de validadores são fortemente aconselhados a atualizar seus nós para a versão mais recente o mais rápido possível para mitigar o risco de exploração. Além disso, é importante monitorar os logs do nó em busca de qualquer atividade suspeita que possa indicar uma tentativa de exploração. A atualização deve ser realizada seguindo as instruções de atualização fornecidas pela equipe da Nimiq. A aplicação oportuna deste patch é crucial para manter a segurança e a estabilidade da rede Nimiq.
Actualice a la versión 1.3.0 o posterior para corregir la vulnerabilidad. Esta versión corrige la comprobación de límites incorrecta en el buffer de propuesta, evitando que un par peer malicioso pueda causar un fallo en el validador.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma implementação em Rust do protocolo Proof-of-Stake da Nimiq, baseado no algoritmo de consenso Albatross.
A vulnerabilidade pode causar interrupções no serviço e potencialmente comprometer a segurança da rede, embora o impacto direto nos usuários seja indireto.
Atualize seu nó para a versão 1.3.0 ou superior de core-rs-albatross o mais rápido possível.
Monitore os logs do seu nó em busca de qualquer atividade suspeita, como pânicos inesperados ou mensagens de erro relacionadas à validação.
Consulte o aviso de segurança da Nimiq e a entrada CVE no banco de dados de vulnerabilidades.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Cargo.lock e descubra na hora se você está afetado.