CVE-2025-47270

Nome do Software Vulnerável e Versões Afetadas Versões do nimiq/core-rs-albatross anteriores à 1.1.0

Descrição O problema está relacionado à alocação de memória descontrolada na subcrate nimiq-network-libp2p do nimiq/core-rs-albatross, o que pode levar a um ataque de Negação de Serviço (DoS). Especificamente, a implementação do processamento da mensagem de rede Discovery aloca um buffer com base em um valor de comprimento fornecido pelo peer, sem impor um limite superior. Um peer pode desencadear alocações de até 4 GB, potencialmente levando ao esgotamento de memória e à queda do nó. Como as mensagens de Discovery são trocadas regularmente para descoberta de peers, esse problema pode ser explorado repetidamente.

Recomendações Para versões anteriores à 1.1.0, atualize para a versão 1.1.0, que implementa um limite de 1 MB para o tamanho da mensagem de discovery e também redimensiona o tamanho do buffer da mensagem incrementalmente conforme os dados são lidos. Como uma solução temporária, considere restringir o processamento da mensagem Discovery para minimizar o risco de exploração.