CVE-2026-48487 in Zeroconfinformazioni

Riassunto

di VulDB • 17/07/2026

Zeroconf è un'implementazione puramente Pythonica della scoperta di servizi tramite multicast DNS (mDNS). Prima della versione 0.149.16, le funzioni _read_character_string e _read_string in src/zeroconf/_protocol/incoming.py incrementavano self.offset utilizzando il valore RDLENGTH dichiarato dall'attaccante senza verificarlo rispetto a self._data_len, consentendo ad host non autenticati sulla rete locale tramite UDP/5353 (224.0.0.251 / ff02::fb) di inviare record TXT, HINFO o A/AAAA con rdlength=65535 e di seminare il DNSCache e le ServiceInfo.properties con chiavi/valori troncati modellati dall'attaccante oppure record di indirizzo troncanti. Questo problema è stato risolto nella versione 0.149.16.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

21/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!