CVE-2026-46654
Plonky3 MultiField32Challenger: transcript malleability and challenge entropy loss
Em resumo
A ferramenta Plonky3 possui uma falha que permite criar transcrições diferentes que geram os mesmos desafios criptográficos, invalidando a proteção que garante que os provedores não consigam forjar provas falsas. Isso compromete a segurança de sistemas que dependem dessa biblioteca.
Detalhe técnico
Um atacante que controla observações no lado do provador pode explorar maleabilidade de transcrição no MultiField32Challenger para gerar desafios idênticos a partir de transcrições distintas, violando a propriedade de binding do Fiat-Shamir. A entropia insuficiente na derivação de desafios permite forjamento de provas válidas mediante manipulação de entrada antes da geração de hash.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Plonky3 is a toolkit for polynomial IOPs (PIOPs). Prior to versions 0.4.3 and 0.5.3, an attacker controlling prover-side observations can craft distinct transcripts that produce identical challenges, breaking the binding property of Fiat-Shamir. This issue has been patched in versions 0.4.3 and 0.5.3.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N
Produtos afetados
Plonky3 · Plonky3Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →