CRITICALCVE-2026-34202CVSS 9.5

Zebra ノードのクラッシュ — V5 トランザクションハッシュパニック (P2P 経由で到達可能)

Q: CVE-2026-34202 とは何ですか？（zebrad の Denial of Service (DoS)）

V5 トランザクションは、Zebra の通信プロトコルで使用される特定の種類のメッセージです。イベントを処理し、システムの状態を更新するために使用されるデータとメタデータが含まれています。

Q: zebrad の CVE-2026-34202 による影響を受けていますか？

使用している zebrad のバージョンを確認してください。バージョンが 4.3.0 より前の場合は、影響を受ける可能性があります。コマンド `zebrad --version` を実行してバージョンを確認できます。

Q: zebrad の CVE-2026-34202 を修正するにはどうすればよいですか？

ファイアウォールルールを実装して Zebra ノードへのアクセスを制限し、システムログを監視して疑わしいアクティビティを検出してください。

Q: CVE-2026-34202 は積極的に悪用されていますか？

現在、この脆弱性を検出するための特定のツールはありません。ログの監視とバージョンの確認が最良のオプションです。

Q: CVE-2026-34202 に関する zebrad の公式アドバイザリはどこで確認できますか？

このコンテキストにおける「パニック」とは、Zebra ノードが予期せず停止し、正しく機能できなくなる、重大なエラー状態を指します。

プラットフォーム

rust

コンポーネント

zebrad

修正版

4.3.1

6.0.2

4.3.0

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

ZEBRAは、Rustで記述されたZcashノードです。zebradバージョン4.3.0およびzebra-chainバージョン6.0.1より前のバージョンでは、Zebraのトランザクション処理ロジックの脆弱性により、リモートの認証されていない攻撃者がZebraノードをパニック（クラッシュ）させることができます。これは、初期のデシリアライズには合格するものの、トランザクションIDの計算中に失敗する、特別に細工されたV5トランザクションを送信することでトリガーされます。この問題は、zebradバージョン4.3.0およびzebra-chainバージョン6.0.1で修正されました。

影響と攻撃シナリオ

CVE-2026-34202 は、zebrad において、認証なしでリモートの攻撃者が Zebra ノードをパニック状態（クラッシュ）させることを可能にします。これは、初期のデシリアライズは通過するが、トランザクション ID の計算で失敗する、特別に細工された V5 トランザクションを送信することでトリガーされます。影響はリモートのサービス拒否（DoS）攻撃であり、ネットワークの可用性や Zebra ノードに依存するサービスに影響を与える可能性があります。認証を必要としないため、攻撃が容易であり、広範囲にわたる攻撃のリスクを高めます。

悪用の状況

攻撃者は、悪意のある V5 トランザクションを Zebra ノードに送信することで、この脆弱性を悪用できます。このトランザクションは、初期のデシリアライズフェーズを通過するように設計されていますが、トランザクション ID の計算中にエラーを引き起こし、ノードがパニック状態になる原因となります。認証が不要であるため、攻撃者はネットワーク上のどこからでもこのトランザクションを開始できます。攻撃が容易であるため、インターネットや安全でないネットワークに公開されている Zebra ノードが多いネットワークでは、特に懸念事項となります。

リスク対象者翻訳中…

Organizations relying on Zebra nodes for network infrastructure are at risk, particularly those using older versions (≤4.3.0) without proper network segmentation or access controls for V5 transactions. Shared hosting environments where multiple users share a Zebra node are also at increased risk.

検出手順翻訳中…

• linux / server:

journalctl -u zebra -f | grep 'Transaction ID calculation failed'

• generic web:

curl -v https://<zebra_node_ip>/v5/transaction | grep -i 'panic'

攻撃タイムライン

2026-03-27Disclosure
disclosure
2026-03-27Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.25% (48% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントzebrad

影響範囲修正版

< 4.3.0 – < 4.3.04.3.1

< 6.0.1 – < 6.0.16.0.2

—4.3.0

弱点分類 (CWE)

CWE-94 CWE-1336

タイムライン

予約済み2026-03-26
公開日2026-03-27
更新日2026-04-09
EPSS 更新日2026-04-08

緩和策と回避策

CVE-2026-34202 の主な軽減策は、zebrad をバージョン 4.3.0 以降にアップグレードすることです。このバージョンには、トランザクション ID の計算における脆弱性を修正する修正が含まれています。その間は、ファイアウォールルールを実装して、V5 トランザクションを含む不正なネットワークトラフィックから Zebra ノードへの露出を制限することをお勧めします。システムログを監視して、トランザクション処理に関連する異常なパターンやエラーを検出することも、潜在的な悪用試行を検出および対応するのに役立ちます。

修正方法

zebrad のバージョン 4.3.0 または zebra-chain のバージョン 6.0.1 にアップデートしてください。これにより、リモートの攻撃者が特別に細工された V5 トランザクションを送信してノードをクラッシュさせる脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34202 とは何ですか？（zebrad の Denial of Service (DoS)）