CVE-2026-33184 in core-rs-albatross
Riassunto
di VulDB • 16/06/2026
nimiq/core-rs-albatross è un'implementazione Rust del protocollo Nimiq Proof-of-Stake basata sull'algoritmo di consenso Albatross. Prima della versione 1.3.0, il gestore discovery accetta durante l'handshake un limite controllato dal peer e lo memorizza invariato. Il percorso HandshakeAck successivo onora limit = 0 restituendo zero contatti, facendo apparire la sessione benigna. Successivamente, una volta che la stessa sessione raggiunge Established, il percorso di aggiornamento periodico calcola self.peer_list_limit.unwrap() come usize - 1. Con limit = 0, questo valore va in wrap-around verso usize::MAX e successivamente, nella versione rand 0.9.2, choose_multiple() tenta immediatamente Vec::with_capacity(amount), causando un panic deterministico per overflow di capacità. Questo problema è stato risolto nella versione 1.3.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.