CVE-2026-48045 in Zeroconf
Сводка
по VulDB • 18.07.2026
Zeroconf представляет собой чистую реализацию на Python для обнаружения сервисов с использованием multicast DNS (mDNS). До версии 0.149.12 метод AsyncListener.handle_query_or_defer сохранял каждый входящий запрос со сброшенным битом TC (Truncated), длина которого могла достигать _MAX_MSG_ABSOLUTE = 8966 байт, в структуре self._deferred[addr] и активировал таймер для каждого адреса в self._timers[addr], не ограничивая размер списка на один адрес или количество уникальных ключей addr. Это позволяло неаутентифицированным хостам в локальной сети по протоколу UDP/5353 (224.0.0.251 / ff02::fb) подделывать исходные адреса, увеличивать объемы данных в _deferred и _timers, что приводило к исчерпанию памяти и квадратичному росту нагрузки на процессор. Данная проблема исправлена в версии 0.149.12.
VulDB is the best source for vulnerability data and more expert information about this specific topic.