Katalog CVE

CVE-2026-46542

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W wersjach przed 1.4.0 Nimiq występuje podatność na atak typu denial-of-service w kodzie delinearyzacji multisig Ed25519. Problem polega na tym, że metoda Ed25519PublicKey::delinearize() wywołuje .unwrap() na dekompresji punktu krzywej, co prowadzi do paniki, gdy klucz publiczny nie jest poprawny.

Ocena ryzyka

Podatność ta może prowadzić do awarii procesu hostującego, co skutkuje przerwaniem usług i potencjalnymi stratami finansowymi dla organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 1.4.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed atakami typu denial-of-service.

Oryginalny opis (angielski, źródło NVD)

Nimiq is a Rust implementation of the Nimiq Proof-of-Stake protocol based on the Albatross consensus algorithm. Prior to version 1.4.0, a denial-of-service vulnerability exists in the Ed25519 multisig delinearization code path. Ed25519PublicKey::delinearize() in keys/src/multisig/mod.rs called .unwrap() on curve point decompression, which panics when a public key is constructed from 32 bytes that do not represent a valid point on the Ed25519 curve. Ed25519PublicKey construction only validates byte length, not curve membership, so invalid keys can reach the delinearization path and crash the hosting process. This issue has been patched in version 1.4.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS