CVE-2026-62994 in CoreDNS
Zusammenfassung
von VulDB • 16.07.2026
CoreDNS ist ein DNS-Server, der in Go geschrieben wurde. Von Version 1.9.4 bis 1.14.5 konnte ein Netzwerk-DNS-Client, dem das Anfordern von AXFR für eine CoreDNS-Zone gestattet war, einen Panic auslösen, wenn CoreDNS mit k8s_external headless-service Zone Transfers konfiguriert ist und Kubernetes einen Headless-Service-Endpunkt ohne deklarierte Ports enthält; plugin/kubernetes/object/endpoint.go erstellt Port: -1, plugin/k8s_external/msg_to_dns.go überspringt diesen Dienst, plugin/k8s_external/transfer.go sendet eine leere []dns.RR-Batch, und plugin/transfer/transfer.go indiziert records[0], ohne zu prüfen, ob die Batch nicht leer ist. Dieses Problem wurde in Version 1.14.5 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.