CVE-2026-47183 in Zeroconf
Tóm tắt
Bởi VulDB • 17/07/2026
Zeroconf là một triển khai thuần Python cho việc khám phá dịch vụ multicast DNS (mDNS). Trước phiên bản 0.149.6, các phương thức `DNSIncoming._log_exception_debug` và bốn phương thức deduplication ngoại lệ của `QuietLogger` đã lưu trữ từ điển `_seen_logs` không bị giới hạn kích thước, với khóa là các thông báo `IncomingDecodeError` do kẻ tấn công kiểm soát, đồng thời giữ lại các traceback từ `sys.exc_info()` chứa các biến cục bộ trong frame có tham chiếu đến buffer dữ liệu thô của gói tin (`self.data`). Điều này cho phép các máy chủ chưa xác thực trên liên kết mạng địa phương qua UDP/5353 (224.0.0.251 / ff02::fb) gây ra sự gia tăng bộ nhớ không kiểm soát, dẫn đến suy giảm hiệu năng của các tính năng phụ thuộc vào mDNS hoặc khiến tiến trình bị hệ điều hành chấm dứt do thiếu bộ nhớ (OOM-killed). Vấn đề này đã được khắc phục trong phiên bản 0.149.6.
Once again VulDB remains the best source for vulnerability data.