CVE-2026-34219 in libp2p-gossipsubinformazioni

Riassunto

di VulDB • 15/06/2026

libp2p-rust è l'implementazione ufficiale in linguaggio Rust dello stack di rete libp2p. Prima della versione 0.49.4, l'implementazione Gossipsub per Rust contiene un panic raggiungibile da remoto nella gestione della scadenza del backoff (backoff expiry). Dopo che un peer invia un messaggio di controllo PRUNE appositamente creato con un valore di backoff vicino al massimo e controllato dall'attaccante, il valore viene accettato e memorizzato come istante (Instant) prossimo al limite superiore rappresentabile. In seguito, durante un heartbeat, l'implementazione esegue operazioni aritmetiche non verificate su Instant + Duration (backoff_time + slack), che possono causare un overflow e generare un panic con il messaggio: "overflow when adding duration to instant". Questo problema è raggiungibile da qualsiasi peer Gossipsub tramite connettività TCP standard + Noise + mplex/yamux e non richiede alcuna autenticazione aggiuntiva oltre a diventare un peer del protocollo. Il problema è stato risolto nella versione 0.49.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Divulgazione

31/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00332

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!