CVE-2026-48487 in Zeroconfinformación

Resumen

por VulDB • 2026-07-17

Zeroconf es una implementación pura en Python para el descubrimiento de servicios mediante multicast DNS (mDNS). Antes de la versión 0.149.16, las funciones `_read_character_string` y `_read_string` en `src/zeroconf/_protocol/incoming.py` avanzaban `self.offset` utilizando un valor de RDLENGTH declarado por el atacante sin verificarlo contra `self._data_len`, lo que permitía a hosts no autenticados en la enlace local (vía UDP/5353, direcciones 224.0.0.251 / ff02::fb) enviar registros TXT, HINFO o A/AAAA con rdlength=65535 para sembrar el DNSCache y ServiceInfo.properties con claves/valores truncados moldeados por el atacante o registros de dirección manipulados. Este problema se corrige en la versión 0.149.16.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-05-21

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379906

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!