製品・ソフトウェアに関する情報

JVN脆弱性詳細

Zcash FoundationのZebra-chain等の複数製品における制限またはスロットリング無しのリソースの割り当てに関する脆弱性

タイトル	Zcash FoundationのZebra-chain等の複数製品における制限またはスロットリング無しのリソースの割り当てに関する脆弱性
概要	ZEBRAは完全にRustで書かれたZcashノードです。zebradバージョン4.4.0未満、zebra-chainバージョン7.0.0未満、zebra-networkバージョン6.0.0未満のバージョンでは、Zebraのいくつかの受信デシリアライズ経路が、より厳密なプロトコルまたはコンセンサス制限が適用される前に、一般的なトランスポートまたはブロックサイズの上限に基づいてバッファを割り当てていました。そのため、認証されていないピアまたはハンドシェイク後のピアが、プロトコルで意図されたよりもはるかに多くのデータを事前割り当てして解析するようノードに強制することが可能でした。これは、ヘッダーメッセージ、ブロックヘッダー内のEquihashソリューション、V5/V4トランザクション内のSapling支出ベクター、およびブロック内のコインベーススクリプトバイトに関する問題です。この問題は、zebradバージョン4.4.0、zebra-chainバージョン7.0.0、およびzebra-networkバージョン6.0.0で修正されました。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月8日0:00
登録日	2026年5月11日11:04
最終更新日	2026年5月11日11:04

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

影響を受けるシステム

Zcash Foundation

Zebra-chain 7.0.0 未満

zebra-network 6.0.0 未満

Zebrad 4.4.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44500	https://www.cve.org/CVERecord?id=CVE-2026-44500
National Vulnerability Database (NVD)
2	CVE-2026-44500	https://nvd.nist.gov/vuln/detail/CVE-2026-44500

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-770	https://cwe.mitre.org/data/definitions/770.html

ベンダー情報

No	名前	URL
GitHub
1	Allocation Amplification in Inbound Network Deserializers Advisory ZcashFoundation/zebra GitHub	https://github.com/ZcashFoundation/zebra/security/advisories/GHSA-438q-jx8f-cccv

変更履歴

No	変更内容	変更日
1	[2026年05月11日] 掲載	2026年5月11日11:04

NVD脆弱性情報

CVE-2026-44500

概要	ZEBRA is a Zcash node written entirely in Rust. Prior to zebrad version 4.4.0, prior to zebra-chain version 7.0.0, and prior to zebra-network version 6.0.0, several inbound deserialization paths in Zebra allocated buffers sized against generic transport or block-size ceilings before the tighter protocol or consensus limits were enforced. An unauthenticated or post-handshake peer could therefore force the node to preallocate and parse for orders of magnitude more data than the protocol intended, across headers messages, equihash solutions in block headers, Sapling spend vectors in V5/V4 transactions, and coinbase script bytes in blocks. This issue has been patched in zebrad version 4.4.0, zebra-chain version 7.0.0, and zebra-network version 6.0.0.
公表日	2026年5月9日0:17
登録日	2026年5月9日4:15
最終更新日	2026年5月9日3:01

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:zfnd:zebra-chain::::::rust::*				7.0.0
cpe:2.3:a:zfnd:zebra-network::::::rust::*				6.0.0
cpe:2.3:a:zfnd:zebrad::::::rust::*				4.4.0