CRITICAL🇬🇧 English

CVE-2026-41583

Błąd walidacji sighash w Zebra — możliwy consensus split z zcashd

CVSS 9.3v4.0pub. 2026-05-08

Podatność w węźle Zcash ZEBRA (napisanym w Rust) powoduje brak walidacji reguły konsensusu dotyczącej typów sighash hash dla transakcji V5 oraz błędne użycie 'kanonicznego' typu hash dla transakcji V4. Skutkuje to możliwością rozbicia konsensusu między węzłami Zebra a węzłami zcashd, co zagraża integralności sieci blockchain.

Pokaż oryginał (EN)

ZEBRA is a Zcash node written entirely in Rust. Prior to zebrad version 4.3.1 and prior to zebra-script version 5.0.2, after a refactoring, Zebra failed to validate a consensus rule that restricted the possible values of sighash hash types for V5 transactions which were enabled in the NU5 network upgrade. Zebra nodes could thus accept and eventually mine a block that would be considered invalid by zcashd nodes, creating a consensus split between Zebra and zcashd nodes. In a similar vein, for V4 transactions, Zebra mistakenly used the "canonical" hash type when computing the sighash while zcashd (correctly per the spec) uses the raw value, which could also crate a consensus split. This issue has been patched in zebrad version 4.3.1 and zebra-script version 5.0.2.

🤖 Analiza AI
Jak działa

Po przeprowadzonym refaktoringu, węzły Zebra przestały weryfikować regułę konsensusu ograniczającą dopuszczalne wartości typów sighash hash dla transakcji V5 (wprowadzonych w ramach uaktualnienia sieci NU5). W konsekwencji węzły Zebra mogły akceptować i ostatecznie wydobywać bloki uznawane za nieprawidłowe przez węzły zcashd. Dodatkowo, dla transakcji V4, Zebra błędnie stosowała 'kanoniczną' postać typu hash podczas obliczania sighash, podczas gdy zcashd — zgodnie ze specyfikacją — używa wartości surowej (raw). Oba błędy mogą prowadzić do rozbicia konsensusu (consensus split) między implementacjami.

Skutki

Atakujący lub złośliwy węzeł może doprowadzić do trwałego rozbicia konsensusu sieci Zcash między węzłami Zebra a zcashd, co zagraża integralności i dostępności sieci blockchain oraz umożliwia akceptację lub wydobycie bloków uznawanych za nieprawidłowe przez część sieci.

Mitygacja

Należy zaktualizować zebrad do wersji 4.3.1 lub nowszej oraz zebra-script do wersji 5.0.2 lub nowszej. Patche są dostępne w repozytorium ZcashFoundation/zebra.

Kogo dotyczy

Zfnd zebrad w wersjach wcześniejszych niż 4.3.1 oraz Zfnd zebra-script w wersjach wcześniejszych niż 5.0.2

Uwagi

Podatność została ujawniona jako advisory GHSA-8m29-fpq5-89jj w repozytorium ZcashFoundation/zebra. Błąd wprowadzono w trakcie refaktoringu kodu — nie jest to podatność pierwotna, lecz regresja.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Zfnd Zebrad

    APP
    Zfnd
    < 4.3.1
  • Zfnd Zebra Script

    APP
    Zfnd
    < 5.0.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-44497CRITICAL9.3PL ✓ten sam produkt

Nieprawidłowa weryfikacja sygnatury w węźle ZEBRA (Zcash) — ryzyko rozszczepienia konsensusu

CVE-2026-44498CRITICAL9.2PL ✓ten sam produkt

Błędne zliczanie sigops w Zebra powoduje split sieci Zcash

CVE-2026-41584CRITICAL9.2PL ✓ten sam produkt

Crash węzła Zebra (Zcash) przez pole rk z wartością tożsamości w transakcjach Orchard

CVE-2026-40880HIGH7.2ten sam produkt

ZEBRA is a Zcash node written entirely in Rust. Prior to zebrad version 4.3.1 and zebra-consensus version 5.0....

CVE-2026-41585MEDIUM6.9ten sam produkt

ZEBRA is a Zcash node written entirely in Rust. From zebrad versions 2.2.0 to before 4.3.1 and from zebra-rpc ...

CVE-2026-41583 — Błąd walidacji sighash w Zebra — możliwy consensus split z zcashd — CRITICAL 9.3 | CVEbaza.pl