LOWCVE-2026-35679CVSS 3.5

Zcash zcashd 6.12.0 より前のバージョンでは、特定の条件下で無効なトランザクションが受け入れられる可能性があり、Sprout プールからのユーザー資金の枯渇につながる可能性があります。時々、Sprout プルーフが検証されませんでした。

Q: CVE-2026-35679 に関する Zcashd の公式アドバイザリはどこで確認できますか？

コマンドラインで`zcashd -version`コマンドを実行することで、zcashdのバージョンを確認できます。

プラットフォーム

linux

コンポーネント

zcashd

修正版

6.12.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Zcashd のバージョン 0–6.12.0 に、不正なトランザクションが許容される脆弱性が発見されました。この脆弱性は、Sprout プールからのユーザー資金の流出につながる可能性があり、Sprout プルーフの検証が不十分であったことが原因です。この脆弱性を修正するため、バージョン 6.12.0 にアップデートすることを推奨します。

影響と攻撃シナリオ

zcashdのCVE-2026-35679は、6.12.0より前のバージョンに影響を与え、特定の条件下で無効なトランザクションが受け入れられる可能性があります。具体的には、ソフトウェアがSproutの証明を常に正しく検証していませんでした。これにより、攻撃者が不正なトランザクションを作成し、それが成功裏に悪用された場合、Sproutプールのユーザー資金が流出する可能性があります。この問題の重大性は、Sproutプロトコルを利用するZcashユーザーへの潜在的な直接的な経済的影響にあります。アクティブな悪用は報告されていませんが、この脆弱性の存在はZcashネットワークにとって重大なセキュリティリスクを表しています。

悪用の状況

この脆弱性の悪用には、Sproutプロトコルに関する深い理解と、証明の検証を回避する悪意のあるトランザクションを作成する能力が必要です。技術的な複雑さは高い可能性がありますが、攻撃者（Sproutプールから資金を流出させる）の潜在的な報酬は大きいです。成功裏な悪用は、偽造されたSprout証明の作成、またはzcashdノードを欺くためにトランザクションデータの操作を伴うと考えられています。KEV（Knowledge Exploitation Verification）がないことは、現在までにこの脆弱性の積極的な悪用が公に確認されていないことを示していますが、その可能性は存在し、真剣に受け止める必要があります。

リスク対象者翻訳中…

Users running Zcashd nodes in versions 0.0 through 6.11.0 are at risk. This includes individuals participating in the Zcash Sprout pool, as well as those running full nodes for privacy and transaction validation. Those relying on older, unpatched Zcashd installations are particularly vulnerable.

検出手順翻訳中…

• linux / server:

journalctl -u zcashd -g 'Sprout proof verification failed'

• linux / server:

ps aux | grep -i zcashd | grep -i sprout

攻撃タイムライン

2026-04-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントzcashd

ベンダーZcash

影響範囲修正版

0 – 6.12.06.12.0

弱点分類 (CWE)

CWE-358

タイムライン

予約済み2026-04-05
公開日2026-04-05
更新日2026-04-06
EPSS 更新日2026-04-13

緩和策と回避策

CVE-2026-35679を軽減するための解決策は、zcashdをバージョン6.12.0以降にアップグレードすることです。このアップデートには、Sproutの証明の適切な検証を保証し、無効なトランザクションの受け入れを防ぐ修正が含まれています。すべてのzcashdユーザーは、できるだけ早くノードを更新することを強く推奨します。さらに、Zcashネットワークを不審な活動がないか監視することが重要です。すぐにアップグレードできないユーザーは、Sproutプールに保持されている資金の量を減らすなど、追加の予防措置を講じることを検討してください。

修正方法翻訳中…

Actualice a la versión 6.12.0 o posterior para corregir la falla de verificación de las pruebas Sprout. Esta actualización asegura que las transacciones inválidas no puedan ser aceptadas, protegiendo así los fondos de los usuarios en el Sprout pool.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35679 とは何ですか？（Zcashd）

Sproutは、Zcashのプライバシープロトコルであり、ユーザーがトランザクションの金額と送信者/受信者を隠すことを可能にします。

Zcashd の CVE-2026-35679 による影響を受けていますか？

Sproutプロトコルを使用しており、バージョン6.12.0以降にアップデートしていない場合、資金を失うリスクがあります。

Zcashd の CVE-2026-35679 を修正するにはどうすればよいですか？

更新版は、Zcashの公式サイトからダウンロードできます：[https://zcash.io/](https://zcash.io/)

CVE-2026-35679 は積極的に悪用されていますか？

ノードが侵害された疑いがある場合は、すぐにノードを停止し、Zcashに関連するすべてのパスワードを変更し、支援のためにZcashコミュニティに連絡してください。

CVE-2026-35679 に関する Zcashd の公式アドバイザリはどこで確認できますか？

コマンドラインでzcashd -versionコマンドを実行することで、zcashdのバージョンを確認できます。