CVE-2026-44497

Nome do Software Vulnerável e Versões Afetadas Zebra versões 4.3.1 through 4.3.1

Descrição O tratamento de erro insuficiente durante a computação do sighash pode levar a uma divergência de consenso. Quando um tipo de sighash inválido é encontrado, o sistema não retorna um erro, deixando o buffer de entrada do sighash intacto. Se uma validação de assinatura anterior deixou um sighash válido no buffer, um tipo de hash inválido pode ser aceito incorretamente. Isso ocorre porque a ponte de interface de função estrangeira (FFI) só escreve no buffer de sighash C++ quando o callback Rust retorna Some, mas o verificador C++ lê o buffer incondicionalmente, fazendo com que o sinal de falha seja perdido. Um invasor pode explorar isso construindo uma saída transparente que execute um OP CHECKSIGVERIFY válido seguido por um OP CHECKSIG com um tipo de hash indefinido, potencialmente induzindo a partição da rede, interrupção do serviço e ataques de gasto duplo.

Recomendações Atualize para a versão 4.4.0.