JVNDB-2026-010469

Zcash FoundationのZebra-chain等の複数製品における複数の脆弱性

ZEBRAは完全にRustで書かれたZcashノードです。zebradバージョン4.3.0およびzebra-chainバージョン6.0.1以前のバージョンには、Zebraのトランザクション処理ロジックに脆弱性があり、リモートの認証されていない攻撃者が特別に細工したV5トランザクションを送信することでZebraノードをパニック（クラッシュ）させる可能性があります。このトランザクションは初期のデシリアライズは通過しますが、トランザクションIDの計算時に失敗します。この問題はzebradバージョン4.3.0およびzebra-chainバージョン6.0.1で修正されました。

Zcash Foundation

• Zebra 4.3.0 未満
• Zebra-chain 6.0.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : CVE-2026-34202: Remote Denial of Service via Crafted V5 Transactions  Advisory  ZcashFoundation/zebra  GitHub

Zcash Foundation

• Zcash Foundation : Zebra 4.3.0: Critical Security Fixes, ZIP-235 Support, and Performance Improvements - Zcash Foundation

1. テンプレートエンジンで使用される特殊な要素の不適切な無効化(CWE-1336) [その他]
2. 信頼できないデータのデシリアライゼーション(CWE-502) [NVD評価]
3. コード・インジェクション(CWE-94) [その他]

1. CVE-2026-34202

1. National Vulnerability Database (NVD) : CVE-2026-34202
2. 関連文書 : Release Zebra 4.3.0  ZcashFoundation/zebra  GitHub

• [2026年04月09日]
    掲載