CVE-2026-46542

Nome do Software Vulnerável e Versões Afetadas Nimiq versões anteriores a 1.4.0

Descrição Um problema de negação de serviço existe no caminho de delinearização multisig Ed25519. A função Ed25519PublicKey::delinearize() em keys/src/multisig/mod.rs utiliza .unwrap() durante a descompressão do ponto da curva, causando um pânico quando uma chave pública é construída a partir de 32 bytes que não representam um ponto válido na curva Ed25519. Como a construção de Ed25519PublicKey valida apenas o comprimento dos bytes e não a associação à curva, chaves inválidas podem travar o processo de hospedagem. Um pânico secundário ocorre em Commitment::From<[u8; 32]> devido a uma falha semelhante na descompressão do ponto da curva. Isso afeta usuários de carteiras de navegador e desktop da biblioteca WASM do web-client e do crate nimiq-wallet ao iniciar uma operação multisig com uma chave pública fornecida por um invasor.

Recomendações Atualize para a versão 1.4.0. Realize operações multisig apenas com chaves públicas recebidas de fontes confiáveis.