Zebra-script
Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
9.3
Макс. EPSS
0.00351
Распределение по критичности
Критический
2
Высокий
1
Средний
0
Низкий
0
Затронутые диапазоны версий
< 4.4.0< 5.0.2< 6.0.0
Также сопоставлено как (исходные строки): zebra-script,zebrad
Топ уязвимостей
CVE-2026-44497ZEBRA - это узел Zcash, полностью написанный на Rust. До зебрад-версии 4.4.0 и до зебра-скрипта версии 6.0.0 исправление для CVE-2026-41583 ввело отдельную проблему из-за недостаточной обработки ошибок в случае, когда тип смолы является недействительным, во время вычислений сигаша. Вместо того, чтобы возвращать ошибку, нормальный поток возобновится, и входной буфер сихапа останется нетронутым. В сценариях, где предыдущая валидация подписи может оставить действительный скиш в буфере, недействительный хэш-тип может быть неправильно принят, что создаст консенсусный раскол между узлами Zebra и zcashd. Эта проблема была исправлена в версии зебра 4.4.0 и зебра-скрипт версии 6.0.0.
CVE-2026-41583ZEBRA - это узел Zcash, написанный полностью на Rust. До зебрад версии 4.3.1 и до зебра-скрипта версии 5.0.2, после рефактопортировки Zebra не смогла проверить консенсусное правило, которое ограничивало возможные значения типов хэш-схэша для транзакций V5, которые были включены в обновлении сети NU5. Таким образом, узлы Зебры могли принять и в конечном итоге добыть блок, который будет считаться недействительным узлами zcashd, создавая консенсусный раскол между узлами Zebra и Zcashd. Аналогичным образом, для транзакций V4 Zebra ошибочно использовала «канонический» тип хэша при вычислении sighash, в то время как zcashd (правильно по спецификации) использует сырую стоимость, которая также может создать консенсусный раскол. Эта проблема была исправлена в зебрад версии 4.3.1 и зебра-скрипт версии 5.0.2.
CVE-2026-44499ZEBRA - это узел Zcash, полностью написанный на Rust. До версии 4.4.0, составная уязвимость отказа в обслуживании в трубопроводе обнаружения блоков Zebra позволяет неаутентичному удаленному злоумышленнику навсегда остановить все новые открытия блока на целевом узоре. Атака использует три независимые слабости в подсистемах сплетен, синхронизации и загрузки — все из которых можно использовать из одного TCP-соединения — чтобы создать монотонно растущий дефицит блока, который никогда не заживает. Этот вопрос был исправлен в версии 4.4.0.