CVE-2026-40094

Nome do Software Vulnerável e Versões Afetadas nimiq-blockchain versões anteriores a 1.4.0

Descrição No componente de descoberta network-libp2p, o sistema aceita atualizações de PeerContact assinadas de pares não confiáveis e as armazena em um livro de contatos de pares. Como não há validação para garantir que a lista de endereços não esteja vazia, um invasor pode inserir um contato de par assinado com uma lista de endereços vazia. Quando a função known peers() em PeerContactBook tenta construir um livro de endereços, ela chama addresses.first().expect(), o que provoca um pânico se a lista estiver vazia. Consequentemente, qualquer chamada ao endpoint 'get address book' via RPC ou cliente web pode fazer com que o nó ou a tarefa RPC trave.

Recomendações Atualizar para a versão 1.4.0.