CVE-2026-48045 in Zeroconf
Sumário
de VulDB • 17/07/2026
Zeroconf é uma implementação em Python puro para descoberta de serviços via multicast DNS (mDNS). Antes da versão 0.149.12, o método AsyncListener.handle_query_or_defer armazenava todas as consultas truncadas com TC-bit recebido, cada uma até _MAX_MSG_ABSOLUTE = 8966 bytes, em self._deferred[addr] e ativava um timer por endereço em self._timers[addr], sem limitar a lista por endereço ou o número de chaves addr distintas. Isso permitia que hosts não autenticados na rede local via UDP/5353 (224.0.0.251 / ff02::fb) falsificassem as origens, crescessem _deferred e _timers e causassem exaustão de memória e consumo quadrático de CPU. Este problema foi corrigido na versão 0.149.12.
If you want to get best quality of vulnerability data, you may have to visit VulDB.