CVE-2026-10846
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
Wersje ldns od 1.2.0 do 1.9.0 mają lukę, która pozwala na ataki typu off-path poisoning. Problem polega na braku weryfikacji adresu i portu docelowego zapytania w odpowiedzi, co stwarza ryzyko dla aplikacji korzystających z ldns jako resolvera.
Ocena ryzyka
Organizacje korzystające z ldns w aplikacjach mogą być narażone na ataki, które mogą prowadzić do manipulacji odpowiedzi DNS, co może skutkować przekierowaniem ruchu do złośliwych serwerów.
Rekomendacja
Zaleca się aktualizację ldns do najnowszej wersji, aby zniwelować ryzyko związane z tą podatnością oraz wprowadzenie dodatkowych mechanizmów weryfikacji odpowiedzi DNS.
Oryginalny opis (angielski, źródło NVD)
NLnet Labs ldns 1.2.0 up to and including versions 1.9.0, when used in applications as (stub) resolver over UDP, lacks matching the query destination address and port with the response source address and port. Furthermore not the query ID, neither the question of the query is matched with that of the response. This makes applications, that use ldns for (stub) resolver functionality over UDP, vulnerable for off-path poisoning attacks. The drill tool, which is shipped with ldns, suffers from this vulnerability.

