Platform
rust
Component
zebrad
Opgelost in
4.3.1
5.0.2
4.3.0
CVE-2026-34377 beschrijft een kwetsbaarheid in Zebra, waarbij een logicafout in de transactie verificatie cache een consensus split kan veroorzaken. Een aanvaller kan door middel van gemanipuleerde autorisatiedata een onjuiste block laten accepteren door kwetsbare Zebra nodes, wat resulteert in een scheiding van de consensus met de rest van het Zcash netwerk. Deze kwetsbaarheid treft Zebra versies tot en met 4.3.0, maar is verholpen in versie 4.3.0.
CVE-2026-34377 in Zebra beïnvloedt de transactievalidatie via de transactievalidatiecache. Een kwaadwillende miner kan een logische fout uitbuiten door ongeldige autorisatiedata te verstrekken die overeenkomen met de txid van een geldige transactie. Dit kan ertoe leiden dat kwetsbare Zebra-nodes een ongeldige blok accepteren, wat resulteert in een consensus split van de rest van het Zcash-netwerk. Het is belangrijk om op te merken dat deze kwetsbaarheid niet de acceptatie van ongeldige transacties zelf toestaat, maar het blokvalidatieproces manipuleert.
Om deze kwetsbaarheid te exploiteren, zou een aanvaller een kwetsbare Zebra-node moeten controleren en in staat moeten zijn om blokken te genereren die transacties bevatten met geldige txid's, maar incorrecte autorisatiedata. De complexiteit ligt in het creëren van deze kwaadaardige blokken en het beïnvloeden van de blockchain, zodat de kwetsbare node het incorrecte blok accepteert. Het succes van de exploitatie hangt af van synchronisatie en het vermogen van de aanvaller om de consensusmechanismen van het Zcash-netwerk te overwinnen.
Zcash node operators running Zebra are at risk, particularly those using older, unpatched versions. This includes individuals and organizations participating in the Zcash network who rely on Zebra for transaction validation and block propagation. Those with limited resources or delayed upgrade cycles are especially vulnerable.
• linux / server:
journalctl -u zebra | grep -i "consensus split"• generic web:
curl -s https://<zebra_node_ip>/ | grep -i "Zebra version"disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
De oplossing voor deze kwetsbaarheid is om te upgraden naar versie 4.3.0 of hoger van Zebra. Deze versie corrigeert de logische fout in de verwerking van autorisatiedata binnen de transactievalidatiecache. Alle Zebra-node-operators worden ten zeerste aangeraden om deze update zo snel mogelijk toe te passen om het risico van een consensus split te verminderen. Het monitoren van de Zebra-logs na de update is een goede praktijk om ervoor te zorgen dat de correctie correct is toegepast.
Actualice a la versión 4.3.0 de zebrad o a la versión 5.0.1 de zebra-consensus para corregir la vulnerabilidad. Esto evitará una posible división de consenso debido a la verificación incorrecta de transacciones V5. La actualización asegura que su nodo Zebra rechace bloques inválidos y mantenga la consistencia con la red Zcash.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Nee. De kwetsbaarheid maakt niet de creatie van valse Zcash of de acceptatie van ongeldige transacties mogelijk. Het maakt slechts de creatie van een ongeldig blok mogelijk dat een consensus split kan veroorzaken.
Als u niet direct kunt upgraden, houd dan de logs van uw Zebra-node nauwlettend in de gaten en blijf op de hoogte van aankondigingen van de Zcash-community.
Controleer de versie van uw Zebra-node door de opdracht zebra-cli status uit te voeren. Als de versie lager is dan 4.3.0, is uw node kwetsbaar.
Momenteel zijn er geen specifieke tools om deze exploitatie te detecteren. Het monitoren van de Zebra-logs en het vergelijken met andere nodes in het netwerk kan helpen bij het identificeren van abnormaal gedrag.
Een consensus split treedt op wanneer verschillende nodes in een blockchain-netwerk verschillende versies van de blockchain hebben, wat kan leiden tot de creatie van twee afzonderlijke ketens.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Cargo.lock-bestand en we vertellen je direct of je getroffen bent.