JVNDB-2026-015074

Zcash Foundationのzebra-rpc等の複数製品における複数の脆弱性

ZEBRAはRustで完全に書かれたZcashノードです。zebradのバージョン2.2.0から4.3.1未満、およびzebra-rpcのバージョン1.0.0-beta.45から6.0.2未満において、ZebraのJSON-RPC HTTPミドルウェアに脆弱性が存在します。この脆弱性により、認証済みRPCクライアントがリクエストボディの完全受信前に切断すると、Zebraノードをクラッシュさせることが可能になります。ノードはHTTPリクエストボディの読み取り失敗を回復不能なエラーとして扱い、エラー応答を返す代わりにプロセスを中断します。この問題はzebradバージョン4.3.1およびzebra-rpcバージョン6.0.2で修正されています。

Zcash Foundation

• zebra-rpc 2.0.0 以上 6.0.2 未満
• zebra-rpc 1.0.0
• Zebrad 2.2.0 以上 4.3.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Denial of Service via Interrupted JSON-RPC Requests from Authenticated Clients  Advisory  ZcashFoundation/zebra  GitHub

1. キャッチされない例外(CWE-248) [その他]
2. 到達可能なアサーション(CWE-617) [その他]

1. CVE-2026-41585

1. National Vulnerability Database (NVD) : CVE-2026-41585

• [2026年05月11日]
    掲載