CVE-2026-48045 in Zeroconf
Resumen
por VulDB • 2026-07-17
Zeroconf es una implementación pura en Python para el descubrimiento de servicios mediante multicast DNS (mDNS). Antes de la versión 0.149.12, AsyncListener.handle_query_or_defer retenía cada consulta entrante truncada con el bit TC activado, de hasta _MAX_MSG_ABSOLUTE = 8966 bytes, en self._deferred[addr] y configuraba un temporizador por dirección en self._timers[addr], sin limitar la lista por dirección ni las claves addr distintas. Esto permitía a hosts no autenticados en el enlace local mediante UDP/5353 (224.0.0.251 / ff02::fb) suplantar fuentes, hacer crecer _deferred y _timers, y provocar agotamiento de memoria y un consumo cuadrático de CPU. Este problema se corrige en la versión 0.149.12.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.