CVE-2026-40092 in core-rs-albatross
요약
\~에 의해 VulDB • 2026. 05. 27.
nimiq-blockchain은 Nimiq의 Rust 구현체를 위한 영구적인 블록 저장소를 제공합니다. 버전 1.3.0 이하에서 악의적인 네트워크 피어는 조작된 Kademlia DHT 레코드를 게시하여 Nimiq 풀 노드를 모두 충돌시킬 수 있습니다. 악의적으로 조작된 레코드는 TaggedSigned<ValidatorRecord, KeyPair>를 포함하며, 여기서 서명 필드의 바이트 길이가 정확히 64가 아니어서 충돌을 유발합니다. 피해 노드의 DHT 검증기가 TaggedSigned::verify를 호출하면, Ed25519PublicKey에 대한 TaggedPublicKey 구현체 내에서 Ed25519Signature::from_bytes(sig).unwrap() 실행에 도달합니다. from_bytes 호출은 ed25519_zebra::Signature::try_from이 64바이트가 아닌 슬라이스를 거부하기 때문에 실패하며, unwrap()이 패닉을 발생시킵니다. BLS TaggedPublicKey 구현체는 오류 시 올바르게 false를 반환하는 반면, Ed25519 구현체만 패닉을 발생시킵니다. 이 문제는 버전 1.4.0에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.