CVE-2026-35579
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 — wyżej niż 40% wszystkich znanych CVE
Streszczenie
W CoreDNS przed wersją 1.14.3 wykryto podatność w implementacjach transportów gRPC, QUIC, DoH i DoH3, które nieprawidłowo obsługują uwierzytelnianie TSIG. Dla gRPC i QUIC serwer sprawdza jedynie nazwę klucza TSIG, ale nie weryfikuje HMAC, co pozwala na uwierzytelnienie żądania z dowolnym MAC. Dla DoH i DoH3 problem jest poważniejszy – serwer w ogóle nie sprawdza rekordu TSIG, uznając każde żądanie z TSIG za uwierzytelnione.
Ocena ryzyka
Nieuwierzytelniony atakujący sieciowo może ominąć ochronę TSIG i uzyskać dostęp do funkcji takich jak transfery stref AXFR/IXFR, dynamiczne aktualizacje DNS lub innych mechanizmów chronionych TSIG. W przypadku DoH i DoH3 ryzyko jest wyższe, ponieważ atakujący nie musi znać poprawnej nazwy klucza TSIG.
Rekomendacja
Należy niezwłocznie zaktualizować CoreDNS do wersji 1.14.3 lub nowszej. Jako tymczasowe obejście, wyłącz nasłuchiwanie na portach gRPC, QUIC, DoH i DoH3 tam, gdzie wymagane jest uwierzytelnianie TSIG, lub ogranicz dostęp sieciowy do tych portów tylko do zaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
CoreDNS is a DNS server written in Go. In versions prior to 1.14.3, the gRPC, QUIC, DoH, and DoH3 transport implementations incorrectly handle TSIG authentication. For gRPC and QUIC, the server checks whether the TSIG key name exists in the configuration but never calls dns.TsigVerify() to validate the HMAC. If the key name matches a configured key, the tsigStatus field remains nil and the tsig plugin treats the request as successfully authenticated regardless of the MAC value. For DoH and DoH3, the issue is more severe: the DoHWriter.TsigStatus() method unconditionally returns nil, and the server never inspects the TSIG record at all. Any request containing a TSIG record is treated as authenticated over DoH and DoH3, even if the key name is invalid and the MAC is arbitrary. An unauthenticated network attacker can exploit this to bypass TSIG-protected functionality such as AXFR/IXFR zone transfers, dynamic DNS updates, or other TSIG-gated plugin behavior. The DoH and DoH3 variants have a lower exploitation bar because the attacker does not need to know a valid TSIG key name. This issue has been fixed in version 1.14.3. As a workaround, disable gRPC, QUIC, DoH, and DoH3 listeners where TSIG authentication is required, or restrict network-level access to affected transport ports to trusted sources only.

