Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Zfnd›Приложениеnvd,anchore_overrides

Zebra-network

Уязвимости

3

Эксплуатируемые

0

Макс. CVSS

8.7

Макс. EPSS

0.00362

Распределение по критичности

Критический

0

Высокий

1

Средний

2

Низкий

0

Затронутые диапазоны версий

< 4.4.0< 5.0.1< 6.0.0

Также сопоставлено как (исходные строки): zebra-network,zebrad,zebra-chain

Топ уязвимостей

CVE-2026-44499ZEBRA - это узел Zcash, полностью написанный на Rust. До версии 4.4.0, составная уязвимость отказа в обслуживании в трубопроводе обнаружения блоков Zebra позволяет неаутентичному удаленному злоумышленнику навсегда остановить все новые открытия блока на целевом узоре. Атака использует три независимые слабости в подсистемах сплетен, синхронизации и загрузки — все из которых можно использовать из одного TCP-соединения — чтобы создать монотонно растущий дефицит блока, который никогда не заживает. Этот вопрос был исправлен в версии 4.4.0.

CVE-2026-40881ZEBRA - это узел Zcash, полностью написанный на Rust. До зебрад версии 4.3.0 и zebra-network версии 5.0.1 при десеризации аддра или сообщений адреса, которые содержат векторы адресов, Zebra полностью дезериализировала их до максимальной длины (более 233 000), что было получено из 2 MiB-сообщений. Это намного больше, чем фактический лимит в 1,000 сообщений от спецификации. Зебра в конечном итоге проверила этот предел, но в этот момент память для большего вектора уже была выделена. Злоумышленник может вызвать аборты вне памяти в Зебре, отправляя несколько таких сообщений по разным связям. Эта уязвимость исправлена в зебрадовой версии 4.3.0 и zebra-сети версии 5.0.1.

CVE-2026-44500ZEBRA - это узел Zcash, полностью написанный на Rust. До зебра-версии 4.4.0, до зебровой версии 7.0.0 и до зебровой версии 6.0.0, несколько входных путей десериализации в Zebra выделили буферы размером с общий транспорт или потолки блочного размера до того, как были введены более жесткие протоколы или консенсусные ограничения. Таким образом, неаутентифицированный или после рукопожатия одноранговый может заставить узел предварительно распределять и анализировать на порядки больше данных, чем предполагалось в сообщениях заголовков, решениях equihash в блок-заголовках, саженцев расходах в транзакциях V5/V4 и байтам на скриптах coinbase в блоках. Эта проблема была исправлена в зебраде версии 4.4.0, zebra-цепочке версии 7.0.0 и zebra-network версии 6.0.0.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →