CVE-2026-44500

Nome do Software Vulnerável e Versões Afetadas zebrad versões anteriores a 4.4.0 zebra-chain versões anteriores a 7.0.0 zebra-network versões anteriores a 6.0.0

Descrição Diversos caminhos de desserialização de entrada no Zebra alocam buffers com base em limites genéricos de transporte ou de tamanho de bloco antes que limites mais rigorosos de protocolo ou consenso sejam aplicados. Isso permite que um peer não autenticado ou pós-handshake force o nó a pré-alocar e analisar significativamente mais dados do que o pretendido. Este problema afeta mensagens headers, soluções equihash em cabeçalhos de bloco, vetores de gasto Sapling em transações V5/V4 e bytes de script de coinbase em blocos. Especificamente, o codec de rede utiliza TrustedPreallocate e desserialização genérica de Vec, criando lacunas onde a alocação ocorre antes que o limite real seja aplicado em funções como read headers(), Solution::zcash deserialize e Input::zcash deserialize(). Isso pode resultar em uma Negação de Serviço ao amplificar os custos de memória e de análise por mensagem.

Recomendações Atualize o zebrad para a versão 4.4.0 ou posterior. Atualize o zebra-chain para a versão 7.0.0 ou posterior. Atualize o zebra-network para a versão 6.0.0 ou posterior.