Live
* [CVE-2026-40092] High 🟠 CVE-2026-40092: High Schwachstelle* [CVE-2026-9144] High 🟠 CVE-2026-9144: High Schwachstelle* [CVE-2026-40165] High 🟠 CVE-2026-40165: High Schwachstelle* [CVE-2026-9141] Critical 🔴 CVE-2026-9141: Critical Schwachstelle* Grafana breach caused by missed token rotation after TanStack attack* Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt* ⚡ Weekly Recap: Exchange 0-Day, npm Worm, Fake AI Repo, Cisco Exploit and More* INTERPOL Operation Ramz Disrupts MENA Cybercrime Networks with 201 Arrests* The New Phishing Click: How OAuth Consent Bypasses MFA* Agent AI is Coming. Are You Ready?* [CVE-2026-40092] High 🟠 CVE-2026-40092: High Schwachstelle* [CVE-2026-9144] High 🟠 CVE-2026-9144: High Schwachstelle* [CVE-2026-40165] High 🟠 CVE-2026-40165: High Schwachstelle* [CVE-2026-9141] Critical 🔴 CVE-2026-9141: Critical Schwachstelle* Grafana breach caused by missed token rotation after TanStack attack* Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt* ⚡ Weekly Recap: Exchange 0-Day, npm Worm, Fake AI Repo, Cisco Exploit and More* INTERPOL Operation Ramz Disrupts MENA Cybercrime Networks with 201 Arrests* The New Phishing Click: How OAuth Consent Bypasses MFA* Agent AI is Coming. Are You Ready?
CVE-2026-40092 High 21. Mai 2026 CVSS 7.5/10

🟠 CVE-2026-40092: High Schwachstelle

CVE-2026-40092
7.5/10
High
Nein
Various
Network
NVD Quelle

„`html

Zusammenfassung

CVE-2026-40092 ist eine Denial-of-Service-Schwachstelle in nimiq-blockchain, die es böswilligen Netzwerk-Peers ermöglicht, vollständige Nimiq-Knoten zum Absturz zu bringen. Die Lücke entsteht durch eine fehlerhafte Signaturvalidierung in der Ed25519-Implementierung der TaggedPublicKey-Klasse, die bei ungültigen Signaturbytes zu einem Panic führt.

Betroffene Systeme

Betroffen sind alle Versionen von nimiq-blockchain bis einschließlich Version 1.3.0. Dies umfasst alle Nimiq-Vollknoten, die mit diesen Versionen der Persistent Block Storage Komponente betrieben werden. Version 1.4.0 und höher enthalten den Sicherheitsfix.

Technische Details

Die Schwachstelle liegt in der Verarbeitung von Kademlia DHT-Records. Ein Angreifer sendet einen manipulierten ValidatorRecord mit einer TaggedSigned-Struktur, deren Signaturfeld nicht exakt 64 Bytes lang ist. Wenn der Zielknoten die DHT-Verifikation durchführt, wird die TaggedSigned::verify()-Methode aufgerufen. Diese delegiert an die Ed25519PublicKey-Implementierung, die Ed25519Signature::from_bytes(sig).unwrap() aufruft. Die Funktion ed25519_zebra::Signature::try_from lehnt Byte-Slices ab, die nicht genau 64 Bytes entsprechen und wirft einen Fehler. Das anschließende unwrap() führt zu einem Panic und Knoten-Crash.

Im Gegensatz dazu behandelt die BLS-Implementierung dieser Validierung den Fehler korrekt durch Rückgabe von false statt Panic.

Empfohlene Massnahmen

Sofortmaßnahmen: Ein Upgrade auf Version 1.4.0 oder höher ist zwingend erforderlich. Benutzer sollten ihre Knoten priorisiert aktualisieren.

Monitoring: Überwachen Sie Ihre Knoten auf unerwartet Abstürze und DHT-Verarbeitungsfehler. Aktivieren Sie ausreichende Logging-Verbosität für DHT-Verifizierungsprozesse.

Netzwerk: Begrenzen Sie DHT-Verbindungen auf vertrauenswürdige Peers, falls möglich.

Bewertung

Die Schwachstelle erfordert unmittelbare Aufmerksamkeit. Mit einem CVSS-Score von 7.5 und der Möglichkeit, Knoten aus der Ferne zum Absturz zu bringen, stellt sie eine erhebliche Bedrohung für die Verfügbarkeit des Nimiq-Netzwerks dar. Das Upgrade auf Version 1.4.0 sollte ohne Verzögerung durchgeführt werden.

„`

Automatisch aggregiert von HuntingThreats am 21.05.2026
Alle CVEs ansehen