CVE-2026-46654
Plonky3 MultiField32Challenger: transcript malleability and challenge entropy loss
En resumen
Plonky3 tiene una vulnerabilidad que permite crear transcripciones diferentes que generan los mismos desafíos criptográficos, rompiendo la garantía de seguridad que impide falsificar pruebas. Esto compromete sistemas que dependen de esta biblioteca de pruebas polinomiales.
Detalle técnico
Un atacante que controla observaciones del lado del probador puede explotar maleabilidad de transcripción en MultiField32Challenger para generar desafíos idénticos desde transcriciones distintas, violando la propiedad de binding de Fiat-Shamir. La entropía insuficiente en la derivación de desafíos permite falsificación de pruebas válidas mediante manipulación de entradas previas a la generación del hash.
Resumen generado y traducido por IA a partir de la descripción oficial.
Plonky3 is a toolkit for polynomial IOPs (PIOPs). Prior to versions 0.4.3 and 0.5.3, an attacker controlling prover-side observations can craft distinct transcripts that produce identical challenges, breaking the binding property of Fiat-Shamir. This issue has been patched in versions 0.4.3 and 0.5.3.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N
Productos afectados
Plonky3 · Plonky3¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →