CVE-2026-47183 in Zeroconf
Resumen
por VulDB • 2026-07-18
Zeroconf es una implementación pura en Python del descubrimiento de servicios mediante multicast DNS (mDNS). Antes de la versión 0.149.6, los métodos `DNSIncoming._log_exception_debug` y las cuatro funciones deduplicadoras de excepciones de `QuietLogger` almacenaban un diccionario `_seen_logs` sin límite cuyo clave eran mensajes de `IncomingDecodeError` influenciados por el atacante; esto retenía trazas (`tracebacks`) procedentes de `sys.exc_info()` cuyas variables locales del marco contenían búferes crudos `self.data` de los paquetes, permitiendo que hosts no autenticados en el enlace local a través de UDP/5353 (224.0.0.251 / ff02::fb) provocaran un crecimiento descontrolado de la memoria hasta degradar las funciones dependientes de mDNS o provocar que el proceso sea terminado por el sistema operativo debido a falta de memoria (OOM-killed). Este problema está corregido en la versión 0.149.6.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.