CVE-2026-33489 in CoreDNSinformación

Resumen

por VulDB • 2026-05-17

CoreDNS es un servidor DNS que encadena plugins. En las versiones anteriores a 1.14.3, el plugin de transferencia puede seleccionar la directiva ACL incorrecta cuando están configuradas tanto una zona padre como una subzona más específica. La función longestMatch() en plugin/transfer/transfer.go utiliza una comparación de cadenas lexicográfica en lugar de una coincidencia real del sufijo más largo para seleccionar la zona ganadora. Como resultado, una regla de transferencia de zona padre permisiva puede anular una regla restrictiva de subzona dependiendo del orden de los nombres de zona (por ejemplo, "example.org." > "a.example.org." lexicográficamente). Esto permite que un cliente remoto no autorizado realice AXFR/IXFR para la subzona y recupere su contenido completo de zona. Este problema se ha corregido en la versión 1.14.3.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-20

Divulgación

2026-05-05

Moderación

aceptado

Artículo

VDB-361234

CPE

listo

EPSS

0.00015

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33489
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33489
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33489/

AnteriorVisión De ConjuntoPróximo

Do you need the next level of professionalism?

Upgrade your account now!