Plateforme
linux
Composant
zcashd
Corrigé dans
6.12.0
La vulnérabilité CVE-2026-35679 affecte Zcashd, le client logiciel de la cryptomonnaie Zcash. Elle permet l'acceptation de transactions invalides dans certaines conditions, ce qui pourrait potentiellement entraîner le vidage de fonds des utilisateurs depuis les pools Sprout. Cette faille est présente dans les versions de Zcashd antérieures à 6.12.0, mais une correction a été déployée dans la version 6.12.0.
La vulnérabilité CVE-2026-35679 dans zcashd, affectant les versions antérieures à 6.12.0, permet l'acceptation de transactions invalides dans certaines conditions. Plus précisément, le logiciel ne vérifiait pas toujours correctement les preuves Sprout. Cela aurait pu permettre à un attaquant de créer des transactions frauduleuses qui, si exploitées avec succès, pourraient entraîner le vidage des fonds des utilisateurs du pool Sprout. La gravité de ce problème réside dans l'impact financier direct potentiel pour les utilisateurs de Zcash utilisant le protocole Sprout. Bien qu'aucun exploit actif n'ait été signalé, l'existence de cette vulnérabilité représente un risque de sécurité important pour le réseau Zcash.
L'exploitation de cette vulnérabilité nécessite une connaissance approfondie du protocole Sprout et la capacité de créer des transactions malveillantes qui contournent la vérification des preuves. Bien que la complexité technique puisse être élevée, la récompense potentielle pour un attaquant (vider les fonds du pool Sprout) est importante. On pense qu'une exploitation réussie implique la création de preuves Sprout falsifiées ou la manipulation des données de transaction pour tromper le nœud zcashd. L'absence d'un KEV (Knowledge Exploitation Verification) indique qu'à ce jour, il n'y a eu aucune exploitation active confirmée publiquement de cette vulnérabilité, mais la possibilité existe et doit être prise au sérieux.
Users running Zcashd nodes in versions 0.0 through 6.11.0 are at risk. This includes individuals participating in the Zcash Sprout pool, as well as those running full nodes for privacy and transaction validation. Those relying on older, unpatched Zcashd installations are particularly vulnerable.
• linux / server:
journalctl -u zcashd -g 'Sprout proof verification failed'• linux / server:
ps aux | grep -i zcashd | grep -i sproutdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer CVE-2026-35679 est de mettre à niveau vers la version 6.12.0 ou supérieure de zcashd. Cette mise à jour inclut des correctifs qui garantissent la vérification correcte des preuves Sprout, empêchant l'acceptation de transactions invalides. Tous les utilisateurs de zcashd sont fortement encouragés à mettre à jour leurs nœuds dès que possible. De plus, il est important de surveiller le réseau Zcash pour détecter toute activité suspecte. Pour les utilisateurs qui ne peuvent pas mettre à niveau immédiatement, envisagez de prendre des précautions supplémentaires, telles que réduire le montant des fonds conservés dans le pool Sprout et accroître la vigilance concernant les transactions.
Actualice a la versión 6.12.0 o posterior para corregir la falla de verificación de las pruebas Sprout. Esta actualización asegura que las transacciones inválidas no puedan ser aceptadas, protegiendo así los fondos de los usuarios en el Sprout pool.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Sprout est un protocole de confidentialité pour Zcash qui permet aux utilisateurs de masquer le montant et l'expéditeur/destinataire de leurs transactions.
Si vous utilisez le protocole Sprout et que vous ne mettez pas à niveau vers la version 6.12.0 ou supérieure, vous risquez de perdre des fonds.
Vous pouvez télécharger la version mise à jour sur le site Web officiel de Zcash : [https://zcash.io/](https://zcash.io/)
Si vous suspectez que votre nœud a été compromis, arrêtez le nœud immédiatement, modifiez tous vos mots de passe liés à Zcash et contactez la communauté Zcash pour obtenir de l'aide.
Vous pouvez vérifier la version de zcashd en exécutant la commande zcashd -version dans la ligne de commande.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.