## CVE-2026-34202: 远程拒绝服务漏洞(精心构造的V5交易) ### 漏洞概述 Zebra交易处理逻辑中存在漏洞,远程未认证攻击者可通过发送特制的V5交易导致Zebra节点崩溃(panic)。该交易能通过初始反序列化,但在交易ID计算阶段失败。 **根本原因**:Zebra在`librustzcash`解析逻辑中延迟验证交易字段,当计算V5交易的ID和auth摘要时,若计算失败则触发panic。 **攻击方式**:向Zebra节点的公共P2P端口发送单个精心构造的`tx`消息,或通过`sendrawtransaction` RPC方法触发。 ### 影响范围 | 组件 | 受影响版本 | 修复版本 | |:---|:---|:---| | zebra-chain (Rust) | < 6.0.1 | 6.0.1 | | zebrad (Rust) | < 4.3.0 | 4.3.0 | - 所有支持V5交易(Network Upgrade 5及之后)且版本低于4.3.0的Zebra版本 - 任何开放P2P端口(默认8233)或暴露RPC接口的节点均受影响 **CVSS v4评分**:9.2/10(Critical) ### 修复方案 1. **立即升级**至Zebra 4.3.0或更高版本 2. **如无法立即升级**: - 确保RPC端口不暴露于互联网 - 注意:P2P端口必须保持开放或限制为受信任节点,否则可能影响节点同步能力 **修复原理**:确保在初始反序列化阶段拒绝所有会导致TxID计算失败的交易,并将内部panic替换为优雅的错误处理。 ### 致谢 - **发现者**:robustfungiblein - **修复开发者**:arya2, upbqdn - **修复审核者**:conradoplg - **分析**:alchemycad