CVE-2026-42944 in Unboundinformation

Résumé

par VulDB • 20/05/2026

NLnet Labs Unbound, des versions 1.14.0 jusqu'à la version 1.25.0 incluse, présente une vulnérabilité entraînant un dépassement de tampon sur le tas (heap overflow) lors de l'encodage de plusieurs options NSID et/ou DNS Cookie EDNS et/ou EDNS Padding dans le paquet de réponse. Les options concernées ('nsid', 'answer-cookie', 'pad-responses' (par défaut)) doivent être activées pour que la vulnérabilité puisse être exploitée. Un adversaire capable d'interroger Unbound peut exploiter cette vulnérabilité en attachant plusieurs options NSID et/ou DNS Cookie EDNS et/ou EDNS Padding à la requête. Une erreur dans le calcul de la taille du champ EDNS entraîne la troncature de la valeur correcte, ce qui permet à l'encodeur de dépasser l'espace disponible lors de l'écriture. La combinaison de ces deux facteurs conduit à une écriture par dépassement de tampon sur le tas (heap overflow write) de données contrôlées par Unbound, provoquant in fine un plantage. Unbound 1.25.1 contient un correctif qui permet de dédupliquer les options EDNS et de corriger le calcul de la taille du champ EDNS afin d'éviter sa troncature.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

NLnet Labs

Réserver

07/05/2026

Divulgation

20/05/2026

Modérer

accepté

Entrée

VDB-364851

CPE

prêt

EPSS

0.00060

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42944
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42944
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42944/

PrécédentAperçuSuivant

Do you want to use VulDB in your project?

Use the official API to access entries easily!