CVE-2026-41583
KrytyczneStreszczenie
ZEBRA, węzeł Zcash napisany w Rust, przed wersją 4.3.1 zebrad i 5.0.2 zebra-script, nieprawidłowo walidował regułę konsensusu dotyczącą typów hash dla transakcji V5, co mogło prowadzić do podziału konsensusu. Dodatkowo, dla transakcji V4, użyto błędnego typu hash, co również mogło skutkować podziałem konsensusu.
Ocena ryzyka
Organizacja może napotkać problemy z konsensusem w sieci Zcash, co prowadzi do akceptacji nieprawidłowych bloków przez węzły Zebra, a tym samym do potencjalnych strat finansowych i problemów z integralnością danych.
Rekomendacja
Zaleca się aktualizację do wersji zebrad 4.3.1 oraz zebra-script 5.0.2, aby usunąć tę podatność i zapewnić zgodność z regułami konsensusu.
Oryginalny opis (angielski, źródło NVD)
ZEBRA is a Zcash node written entirely in Rust. Prior to zebrad version 4.3.1 and prior to zebra-script version 5.0.2, after a refactoring, Zebra failed to validate a consensus rule that restricted the possible values of sighash hash types for V5 transactions which were enabled in the NU5 network upgrade. Zebra nodes could thus accept and eventually mine a block that would be considered invalid by zcashd nodes, creating a consensus split between Zebra and zcashd nodes. In a similar vein, for V4 transactions, Zebra mistakenly used the "canonical" hash type when computing the sighash while zcashd (correctly per the spec) uses the raw value, which could also crate a consensus split. This issue has been patched in zebrad version 4.3.1 and zebra-script version 5.0.2.

