HIGHCVE-2026-34377CVSS 7.5

Zebraにおいて、V5トランザクションの不適切な検証によりコンセンサス障害が発生する

Q: CVE-2026-34377 とは何ですか？（zebrad）

いいえ。この脆弱性は、偽の Zcash の作成または無効なトランザクションの受け入れを許可しません。コンセンサス スプリットを引き起こす可能性のある無効なブロックを作成するだけです。

Q: zebrad の CVE-2026-34377 による影響を受けていますか？

すぐにアップグレードできない場合は、Zebra ノードのログを注意深く監視し、Zcash コミュニティからの発表に注意してください。

Q: zebrad の CVE-2026-34377 を修正するにはどうすればよいですか？

コマンド `zebra-cli status` を実行して、Zebra ノードのバージョンを確認します。バージョンが 4.3.0 未満の場合、ノードは脆弱です。

Q: CVE-2026-34377 は積極的に悪用されていますか？

現在、この悪用を検出するための特定のツールはありません。Zebra のログを監視し、ネットワーク上の他のノードと比較することで、異常な動作を特定するのに役立ちます。

Q: CVE-2026-34377 に関する zebrad の公式アドバイザリはどこで確認できますか？

コンセンサス スプリットは、ブロックチェーン ネットワーク内の異なるノードがブロックチェーンの異なるバージョンを持っている場合に発生し、2 つの別のチェーンの作成につながる可能性があります。

プラットフォーム

rust

コンポーネント

zebrad

修正版

4.3.1

5.0.2

4.3.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-34377 describes a consensus failure vulnerability within Zebra, a Zcash node implementation. This flaw allows a malicious miner to induce a consensus split by exploiting a logic error in the transaction verification cache. Affected versions include those prior to 4.3.0; upgrading to 4.3.0 resolves the issue.

影響と攻撃シナリオ

Zebra の CVE-2026-34377 は、トランザクション検証キャッシュを介したトランザクション検証に影響を与えます。悪意のあるマイナーは、有効なトランザクションの txid に一致する無効な承認データを供給することで、論理エラーを悪用できます。これにより、脆弱な Zebra ノードが無効なブロックを受け入れ、Zcash ネットワークの残りの部分とのコンセンサススプリットを引き起こす可能性があります。この脆弱性は、無効なトランザクション自体の受け入れを許可するものではないことに注意することが重要です。ブロック検証プロセスを操作します。

悪用の状況

この脆弱性を悪用するには、攻撃者は脆弱な Zebra ノードを制御し、有効な txid を持つトランザクションを含み、不正な承認データを持つブロックを生成できる必要があります。複雑さは、これらの悪意のあるブロックを作成し、脆弱なノードが不正なブロックを受け入れるようにブロックチェーンに影響を与えることにあります。悪用の成功は、同期と攻撃者が Zcash ネットワークのコンセンサスメカニズムを克服する能力に依存します。

リスク対象者翻訳中…

Zcash node operators running Zebra are at risk, particularly those using older, unpatched versions. This includes individuals and organizations participating in the Zcash network who rely on Zebra for transaction validation and block propagation. Those with limited resources or delayed upgrade cycles are especially vulnerable.

検出手順翻訳中…

• linux / server:

journalctl -u zebra | grep -i "consensus split"

• generic web:

curl -s https://<zebra_node_ip>/ | grep -i "Zebra version"

攻撃タイムライン

2026-03-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.02% (5% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントzebrad

影響範囲修正版

< 4.3.0 – < 4.3.04.3.1

< 5.0.1 – < 5.0.15.0.2

—4.3.0

弱点分類 (CWE)

CWE-347

タイムライン

予約済み2026-03-27
公開日2026-03-30
更新日2026-04-09
EPSS 更新日2026-04-08

緩和策と回避策

この脆弱性の解決策は、Zebra のバージョン 4.3.0 以降にアップグレードすることです。このバージョンは、トランザクション検証キャッシュ内の承認データ処理の論理エラーを修正します。すべての Zebra ノードオペレーターは、コンセンサススプリットのリスクを軽減するために、できるだけ早くこのアップデートを適用することを強くお勧めします。アップデート後も Zebra のログを監視することは、修正が正しく適用されたことを確認するための良い方法です。

修正方法翻訳中…

Actualice a la versión 4.3.0 de zebrad o a la versión 5.0.1 de zebra-consensus para corregir la vulnerabilidad. Esto evitará una posible división de consenso debido a la verificación incorrecta de transacciones V5. La actualización asegura que su nodo Zebra rechace bloques inválidos y mantenga la consistencia con la red Zcash.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34377 とは何ですか？（zebrad）

いいえ。この脆弱性は、偽の Zcash の作成または無効なトランザクションの受け入れを許可しません。コンセンサススプリットを引き起こす可能性のある無効なブロックを作成するだけです。

zebrad の CVE-2026-34377 による影響を受けていますか？