CVE-2026-34066

Name of the Vulnerable Software and Affected Versions nimiq-blockchain versões anteriores a 1.3.0

Description Na implementação Rust do Nimiq, a função HistoryStore::put historic txns utiliza a macro assert! para impor invariantes relativos ao block number de uma HistoricTransaction, exigindo que este esteja dentro da mesma época e do macro bloco que está sendo enviado. Durante uma sincronização de histórico, um peer pode fornecer uma lista de histórico malformada através da entrada history: &[HistoricTransaction] passada para Blockchain::push history sync, o que pode violar essas invariantes e causar um panic. Isso ocorre porque extend history sync chama this.history store.add to history(..) antes que a raiz do histórico computada seja comparada com o cabeçalho do macro bloco (block.history root()), permitindo que o panic aconteça antes que as verificações de rejeição sejam executadas.

Recommendations Atualizar para a versão 1.3.0.