CVE-2026-33489 in CoreDNSinformação

Sumário

de VulDB • 10/05/2026

O CoreDNS é um servidor DNS que encadeia plugins. Nas versões anteriores à 1.14.3, o plugin de transferência pode selecionar a seção ACL incorreta quando uma zona pai e uma subzona mais específica estão configuradas. A função longestMatch() em plugin/transfer/transfer.go utiliza uma comparação de strings lexicográficas em vez de uma correspondência real de sufixo mais longo para selecionar a zona vencedora. Como resultado, uma regra de transferência de zona pai permissiva pode substituir uma regra restritiva de subzona, dependendo da ordem dos nomes das zonas (por exemplo, "example.org." > "a.example.org." lexicograficamente). Isso permite que um cliente remoto não autorizado realize AXFR/IXFR para a subzona e recupere todo o conteúdo da zona. Este problema foi corrigido na versão 1.14.3.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

20/03/2026

Divulgação

05/05/2026

Moderação

aceite

Entrada

VDB-361234

CPE

pronto

EPSS

0.00015

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33489
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33489
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33489/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!