Platform
linux
Component
zcashd
Opgelost in
6.12.0
CVE-2026-35679 is een kwetsbaarheid in Zcashd, de Zcash blockchain software. Deze kwetsbaarheid maakt het mogelijk voor ongeldige transacties om te worden geaccepteerd onder bepaalde omstandigheden, wat potentieel kan leiden tot het leegmaken van gebruikersfondsen uit de Sprout pool. De kwetsbaarheid treft versies van Zcashd van 0 tot en met 6.12.0. Een patch is beschikbaar in versie 6.12.0.
CVE-2026-35679 in zcashd, affecting versions prior to 6.12.0, allows invalid transactions to be accepted under certain conditions. Specifically, the software was not always correctly verifying Sprout proofs. This could have allowed an attacker to craft fraudulent transactions that, if successfully exploited, could result in the draining of user funds from the Sprout pool. The severity of this issue lies in the potential direct financial impact to Zcash users utilizing the Sprout protocol. While no active exploits have been reported, the existence of this vulnerability represents a significant security risk to the Zcash network.
Exploitation of this vulnerability requires a deep understanding of the Sprout protocol and the ability to craft malicious transactions that bypass proof verification. While the technical complexity may be high, the potential reward for an attacker (draining funds from the Sprout pool) is significant. Successful exploitation is believed to involve the creation of forged Sprout proofs or the manipulation of transaction data to deceive the zcashd node. The lack of a KEV (Knowledge Exploitation Verification) indicates that, to date, there has been no publicly confirmed active exploitation of this vulnerability, but the possibility exists and should be taken seriously.
Users running Zcashd nodes in versions 0.0 through 6.11.0 are at risk. This includes individuals participating in the Zcash Sprout pool, as well as those running full nodes for privacy and transaction validation. Those relying on older, unpatched Zcashd installations are particularly vulnerable.
• linux / server:
journalctl -u zcashd -g 'Sprout proof verification failed'• linux / server:
ps aux | grep -i zcashd | grep -i sproutdisclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
The solution to mitigate CVE-2026-35679 is to upgrade to version 6.12.0 or higher of zcashd. This update includes fixes that ensure proper verification of Sprout proofs, preventing the acceptance of invalid transactions. All zcashd users are strongly encouraged to update their nodes as soon as possible. Additionally, it is important to monitor the Zcash network for any suspicious activity. For users unable to upgrade immediately, consider taking additional precautions, such as reducing the amount of funds held in the Sprout pool and increasing vigilance over transactions.
Actualice a la versión 6.12.0 o posterior para corregir la falla de verificación de las pruebas Sprout. Esta actualización asegura que las transacciones inválidas no puedan ser aceptadas, protegiendo así los fondos de los usuarios en el Sprout pool.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Sprout is een privacyprotocol voor Zcash dat gebruikers in staat stelt om het bedrag en de afzender/ontvanger van hun transacties te verbergen.
Als u het Sprout-protocol gebruikt en niet bijwerkt naar versie 6.12.0 of hoger, loopt u het risico geld te verliezen.
U kunt de bijgewerkte versie downloaden van de officiële Zcash-website: [https://zcash.io/](https://zcash.io/)
Als u vermoedt dat uw node is gecompromitteerd, stop de node onmiddellijk, wijzig al uw Zcash-gerelateerde wachtwoorden en neem contact op met de Zcash-community voor hulp.
U kunt de versie van zcashd controleren door de opdracht zcashd -version in de opdrachtregel uit te voeren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.