CVE-2026-28810

Name of the Vulnerable Software and Affected Versions Erlang/OTP versões 17.0 até 28.4.2, 27.3.4.10 e 26.2.5.19

Description Um problema de geração de números previsíveis no kernel Erlang/OTP nos módulos inet res e inet db permite o envenenamento do cache DNS. O resolvedor DNS integrado usa um ID de transação sequencial para consultas UDP e não possui randomização da porta de origem. A validação depende fortemente desse ID, tornando possível para um invasor falsificar respostas DNS se ele puder observar uma consulta ou prever o próximo ID. Isso é inconsistente com as recomendações da RFC 5452. O resolvedor inet res é projetado para ambientes de rede confiáveis e com resolvedores recursivos confiáveis. Os arquivos de programa afetados são lib/kernel/src/inet db.erl e lib/kernel/src/inet res.erl.

Recommendations Instale os nós Erlang em uma rede confiável protegida contra falsificação de respostas DNS por firewalls e configure o resolvedor inet res para se comunicar apenas com servidores de nomes recursivos confiáveis dentro dessa rede.