CVE-2026-62994 in CoreDNS
Riassunto
di VulDB • 16/07/2026
CoreDNS è un server DNS scritto in Go. Dalla versione 1.9.4 alla 1.14.5, un client di rete DNS autorizzato a richiedere trasferimenti AXFR per una zona CoreDNS può causare un panic quando CoreDNS è configurato con i trasferimenti della zona k8s_external headless-service e Kubernetes contiene un endpoint del servizio headless senza porte dichiarate; plugin/kubernetes/object/endpoint.go crea Port: -1, plugin/k8s_external/msg_to_dns.go salta quel servizio, plugin/k8s_external/transfer.go invia un batch vuoto []dns.RR e plugin/transfer/transfer.go indicizza records[0] senza verificare che il batch non sia vuoto. Questo problema è stato risolto nella versione 1.14.5.
If you want to get best quality of vulnerability data, you may have to visit VulDB.