CVE-2026-34202: 远程拒绝服务漏洞(精心构造的V5交易) 漏洞概述 Zebra交易处理逻辑中存在漏洞,远程未认证攻击者可通过发送特制的V5交易导致Zebra节点崩溃(panic)。该交易能通过初始反序列化,但在交易ID计算阶段失败。 根本原因:Zebra在 解析逻辑中延迟验证交易字段,当计算V5交易的ID和auth摘要时,若计算失败则触发panic。 攻击方式:向Zebra节点的公共P2P端口发送单个精心构造的 消息,或通过 RPC方法触发。 影响范围 所有支持V5交易(Network Upgrade 5及之后)且版本低于4.3.0的Zebra版本 任何开放P2P端口(默认8233)或暴露RPC接口的节点均受影响 CVSS v4评分:9.2/10(Critical) 修复方案 1. 立即升级至Zebra 4.3.0或更高版本 2. 如无法立即升级: - 确保RPC端口不暴露于互联网 - 注意:P2P端口必须保持开放或限制为受信任节点,否则可能影响节点同步能力 修复原理:确保在初始反序列化阶段拒绝所有会导致TxID计算失败的交易,并将内部panic替换为优雅的错误处理。 致谢 发现者:robustfungiblein 修复开发者:arya2, upbqdn 修复审核者:conradoplg 分析:alchemycad