CVE-2026-48487 in Zeroconf情報

要約

〜によって VulDB • 2026年07月18日

Zeroconfは、マルチキャストDNSサービスディスカバリの純粋なPython実装です。バージョン0.149.16より前では、src/zeroconf/_protocol/incoming.py内の_read_character_stringおよび_read_string関数が、self._data_lenとの検証を行わずに攻撃者が指定したRDLENGTHに基づいてself.offsetを進めていたため、ローカルリンク上の認証不要のホストがUDP/5353(224.0.0.251 / ff02::fb)を介してrdlength=65535のTXT、HINFO、またはA/AAAAレコードを送信し、DNSCacheおよびServiceInfo.propertiesに切り捨てられた攻撃者制御のキー/バリューペアやアドレスレコードでシードすることが可能でした。この問題はバージョン0.149.16で修正されています。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年05月21日

モデレーション

承諾済み

エントリ

VDB-379906

EPSS

0.00000

アクティビティ

低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!