CVE-2026-12490
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Podatność w systemie DNS pozwala na ominięcie wymogu uwierzytelnienia certyfikatem klienta podczas transferu strefy (XFR) z użyciem opcji provide-xfr z parametrem tls-auth-name. Gdy żądanie przychodzi przez TLS na standardowym porcie TLS (a nie na porcie tls-auth) lub przez zwykłe TCP na standardowym porcie, serwer nie wymaga certyfikatu klienta, nawet jeśli reguła provide-xfr go przewiduje.
Ocena ryzyka
Atakujący może nieautoryzowanie uzyskać kopię strefy DNS, co prowadzi do wycieku poufnych danych (np. rekordów wewnętrznych) i umożliwia dalsze ataki, takie jak rozpoznanie sieci.
Rekomendacja
Należy zaktualizować oprogramowanie DNS do wersji, w której poprawiono logikę wymuszania certyfikatu klienta dla reguł provide-xfr z tls-auth-name. Do czasu aktualizacji zaleca się ograniczenie dostępu do portów TLS i TCP tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
When a provide-xfr is given with a tls-auth-name, a secondary requesting a transfer should provide a client certificate with that name. However, no client certificate is needed when the request comes in over TLS over the regular tls-port (and not the tls-auth-port) or over over TCP over the regular port, when the other conditions of the provide-xfr rule match.

