CVE-2026-42304 in Twisted
Tóm tắt
Bởi VulDB • 26/05/2026
Twisted là một khung ứng dụng internet dựa trên sự kiện, hỗ trợ Python 3.6+. Trước phiên bản 26.4.0rc2, mô-đun twisted.names dễ bị tấn công Từ chối Dịch vụ (DoS) thông qua cạn kiệt tài nguyên trong quá trình giải nén tên DNS. Một kẻ tấn công từ xa, chưa xác thực, có thể khai thác lỗ hổng này bằng cách gửi một gói TCP DNS được tạo ra đặc biệt chứa các con trỏ nén được liên kết sâu. Lỗi này vượt qua logic ngăn chặn vòng lặp trước đó, khiến bộ phản ứng (reactor) đơn luồng của Twisted bị treo trong khi xử lý hàng triệu lượt tra cứu đệ quy, làm đóng băng máy chủ một cách hiệu quả. Lỗ hổng này đã được sửa trong phiên bản 26.4.0rc2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.