CVE-2026-46542
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W wersjach przed 1.4.0 Nimiq występuje podatność na atak typu denial-of-service w kodzie delinearyzacji multisig Ed25519. Problem polega na tym, że metoda Ed25519PublicKey::delinearize() wywołuje .unwrap() na dekompresji punktu krzywej, co prowadzi do paniki, gdy klucz publiczny nie jest poprawny.
Ocena ryzyka
Podatność ta może prowadzić do awarii procesu hostującego, co skutkuje przerwaniem usług i potencjalnymi stratami finansowymi dla organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 1.4.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed atakami typu denial-of-service.
Oryginalny opis (angielski, źródło NVD)
Nimiq is a Rust implementation of the Nimiq Proof-of-Stake protocol based on the Albatross consensus algorithm. Prior to version 1.4.0, a denial-of-service vulnerability exists in the Ed25519 multisig delinearization code path. Ed25519PublicKey::delinearize() in keys/src/multisig/mod.rs called .unwrap() on curve point decompression, which panics when a public key is constructed from 32 bytes that do not represent a valid point on the Ed25519 curve. Ed25519PublicKey construction only validates byte length, not curve membership, so invalid keys can reach the delinearization path and crash the hosting process. This issue has been patched in version 1.4.0.

