CVE-2026-48487 in Zeroconfthông tin

Tóm tắt

Bởi VulDB • 18/07/2026

Zeroconf là một triển khai thuần Python cho việc khám phá dịch vụ multicast DNS. Trước phiên bản 0.149.16, các hàm `_read_character_string` và `_read_string` trong `src/zeroconf/_protocol/incoming.py` đã tăng giá trị của `self.offset` theo độ dài RDLENGTH do kẻ tấn công khai báo mà không kiểm tra nó so với `self._data_len`, cho phép các máy chủ chưa xác thực trên liên kết cục bộ qua UDP/5353 (224.0.0.251 / ff02::fb) gửi bản ghi TXT, HINFO hoặc A/AAAA có rdlength=65535 và làm hạt nhân DNSCache cũng như ServiceInfo.properties với các cặp khóa/giá trị bị cắt cụt do kẻ tấn công định hình hoặc các bản ghi địa chỉ. Vấn đề này đã được sửa trong phiên bản 0.149.16.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

21/05/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!