製品・ソフトウェアに関する情報

JVN脆弱性詳細

Zcash FoundationのZebra-chain等の複数製品における到達可能なアサーションに関する脆弱性

Title	Zcash FoundationのZebra-chain等の複数製品における到達可能なアサーションに関する脆弱性
Summary	ZEBRAはRustで完全に書かれたZcashノードです。zebradバージョン4.3.1以前およびzebra-chainバージョン6.0.2以前のバージョンでは、Orchardトランザクションにrkフィールドが含まれており、これはランダム化された検証キーで楕円曲線上の点でもあります。Zcashの仕様ではこのフィールドが恒等元（「ゼロ」値）であっても許容されていますが、Orchardの証明を検証するために使用されるorchardクレートは、rkが恒等元の値である場合にパニックを起こしてしまいます。したがって、攻撃者は細工されたトランザクションを送信することでZebraノードをクラッシュさせることができました。この問題はzebradバージョン4.3.1およびzebra-chainバージョン6.0.2で修正されました。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 8, 2026, midnight
Registration Date	May 11, 2026, 11:09 a.m.
Last Update	May 11, 2026, 11:09 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

Zcash Foundation

Zebra-chain 6.0.2 未満

Zebrad 4.3.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41584	https://www.cve.org/CVERecord?id=CVE-2026-41584
National Vulnerability Database (NVD)
2	CVE-2026-41584	https://nvd.nist.gov/vuln/detail/CVE-2026-41584

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-617	http://cwe.mitre.org/data/definitions/617.html

ベンダー情報

No	Name	URL
GitHub
1	rk Identity Point Panic in Transaction Verification Advisory ZcashFoundation/zebra GitHub	https://github.com/ZcashFoundation/zebra/security/advisories/GHSA-452v-w3gx-72wg

Change Log

No	Changed Details	Date of change
1	[2026年05月11日] 掲載	May 11, 2026, 11:09 a.m.

NVD Vulnerability Information

CVE-2026-41584

Summary	ZEBRA is a Zcash node written entirely in Rust. Prior to zebrad version 4.3.1 and prior to zebra-chain version 6.0.2, Orchard transactions contain a rk field which is a randomized validating key and also an elliptic curve point. The Zcash specification allows the field to be the identity (a "zero" value), however, the orchard crate which is used to verify Orchard proofs would panic when fed a rk with the identity value. Thus an attacker could send a crafted transaction that would make a Zebra node crash. This issue has been patched in zebrad version 4.3.1 and zebra-chain version 6.0.2.
Publication Date	May 9, 2026, 12:16 a.m.
Registration Date	May 9, 2026, 4:13 a.m.
Last Update	May 9, 2026, 3:21 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:zfnd:zebra-chain::::::rust::*				6.0.2
cpe:2.3:a:zfnd:zebrad::::::rust::*				4.3.1

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/ZcashFoundation/zebra/security/advisories/GHSA-452v-w3gx-72wg	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-617	到達可能なアサーション	https://cwe.mitre.org/data/definitions/617.html