製品・ソフトウェアに関する情報

JVN脆弱性詳細

Zcash FoundationのZebra-chain等の複数製品における制限またはスロットリング無しのリソースの割り当てに関する脆弱性

Title	Zcash FoundationのZebra-chain等の複数製品における制限またはスロットリング無しのリソースの割り当てに関する脆弱性
Summary	ZEBRAは完全にRustで書かれたZcashノードです。zebradバージョン4.4.0未満、zebra-chainバージョン7.0.0未満、zebra-networkバージョン6.0.0未満のバージョンでは、Zebraのいくつかの受信デシリアライズ経路が、より厳密なプロトコルまたはコンセンサス制限が適用される前に、一般的なトランスポートまたはブロックサイズの上限に基づいてバッファを割り当てていました。そのため、認証されていないピアまたはハンドシェイク後のピアが、プロトコルで意図されたよりもはるかに多くのデータを事前割り当てして解析するようノードに強制することが可能でした。これは、ヘッダーメッセージ、ブロックヘッダー内のEquihashソリューション、V5/V4トランザクション内のSapling支出ベクター、およびブロック内のコインベーススクリプトバイトに関する問題です。この問題は、zebradバージョン4.4.0、zebra-chainバージョン7.0.0、およびzebra-networkバージョン6.0.0で修正されました。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 8, 2026, midnight
Registration Date	May 11, 2026, 11:04 a.m.
Last Update	May 11, 2026, 11:04 a.m.

CVSS3.0 : 警告
Score	5.3
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Affected System

Zcash Foundation

Zebra-chain 7.0.0 未満

zebra-network 6.0.0 未満

Zebrad 4.4.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44500	https://www.cve.org/CVERecord?id=CVE-2026-44500
National Vulnerability Database (NVD)
2	CVE-2026-44500	https://nvd.nist.gov/vuln/detail/CVE-2026-44500

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-770	https://cwe.mitre.org/data/definitions/770.html

ベンダー情報

No	Name	URL
GitHub
1	Allocation Amplification in Inbound Network Deserializers Advisory ZcashFoundation/zebra GitHub	https://github.com/ZcashFoundation/zebra/security/advisories/GHSA-438q-jx8f-cccv

Change Log

No	Changed Details	Date of change
1	[2026年05月11日] 掲載	May 11, 2026, 11:04 a.m.

NVD Vulnerability Information

CVE-2026-44500

Summary	ZEBRA is a Zcash node written entirely in Rust. Prior to zebrad version 4.4.0, prior to zebra-chain version 7.0.0, and prior to zebra-network version 6.0.0, several inbound deserialization paths in Zebra allocated buffers sized against generic transport or block-size ceilings before the tighter protocol or consensus limits were enforced. An unauthenticated or post-handshake peer could therefore force the node to preallocate and parse for orders of magnitude more data than the protocol intended, across headers messages, equihash solutions in block headers, Sapling spend vectors in V5/V4 transactions, and coinbase script bytes in blocks. This issue has been patched in zebrad version 4.4.0, zebra-chain version 7.0.0, and zebra-network version 6.0.0.
Publication Date	May 9, 2026, 12:17 a.m.
Registration Date	May 9, 2026, 4:15 a.m.
Last Update	May 9, 2026, 3:01 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:zfnd:zebra-chain::::::rust::*				7.0.0
cpe:2.3:a:zfnd:zebra-network::::::rust::*				6.0.0
cpe:2.3:a:zfnd:zebrad::::::rust::*				4.4.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/ZcashFoundation/zebra/security/advisories/GHSA-438q-jx8f-cccv	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-770	制限またはスロットリング無しのリソースの割り当て	https://cwe.mitre.org/data/definitions/770.html