Vulnerabilidad en nimiq/core-rs-albatross (CVE-2025-47270)

nimiq/core-rs-albatross es una implementación en Rust del protocolo Nimiq Proof-of-Stake, basado en el algoritmo de consenso Albatross. La subcaja `nimiq-network-libp2p` de nimiq/core-rs-albatross es vulnerable a un ataque de denegación de servicio (DoS) debido a la asignación de memoria incontrolada. En concreto, la implementación del sistema de gestión de mensajes de red `Discovery` asigna un búfer según la longitud proporcionada por el par, sin imponer un límite superior. Dado que esta longitud es `u32`, un par puede activar asignaciones de hasta 4 GB, lo que podría provocar el agotamiento de la memoria y caídas del nodo. Dado que los mensajes de Discovery se intercambian regularmente para el descubrimiento de pares, esta vulnerabilidad puede explotarse repetidamente. El parche para esta vulnerabilidad se publicó oficialmente como parte de la versión 1.1.0. El parche implementa un límite de 1 MB para el tamaño de los mensajes de descubrimiento y también ajusta el tamaño del búfer de mensajes de forma incremental a medida que se leen los datos. No se conocen workarounds.