CVE-2026-40092

Nome do Software Vulnerável e Versões Afetadas nimiq-blockchain versões anteriores a 1.4.0

Descrição Um peer de rede malicioso pode derrubar um nó completo do Nimiq ao publicar um registro Kademlia DHT manipulado. O registro contém um TaggedSigned<ValidatorRecord, KeyPair> com um campo de assinatura cujo comprimento de bytes não é exatamente 64. Quando o verificador DHT do nó chama a função TaggedSigned::verify, a execução atinge Ed25519Signature::from bytes(sig).unwrap() na implementação TaggedPublicKey para Ed25519PublicKey. A chamada from bytes falha porque ed25519 zebra::Signature::try from rejeita fatias que não possuam 64 bytes, fazendo com que a função unwrap() cause um pânico e derrube o nó. Este problema afeta especificamente a implementação Ed25519, enquanto a implementação TaggedPublicKey do BLS trata o erro corretamente.

Recomendações Atualize para a versão 1.4.0.