CVE-2026-32936

Nome do Software Vulnerável e Versões Afetadas CoreDNS versões anteriores a 1.14.3

Descrição O CoreDNS é um servidor DNS que encadeia plugins. Existe um problema de negação de serviço no caminho GET do DNS-over-HTTPS (DoH) porque ele carece de validação inicial de tamanho para as solicitações. Um invasor remoto não autenticado pode enviar solicitações excessivamente grandes para o endpoint '/dns-query' usando o parâmetro de consulta dns. O servidor executa operações dispendiosas — incluindo a análise de consulta de URL, decodificação base64 através da função base64ToMsg() e desempacotamento de mensagens DNS — antes de rejeitar a solicitação com um erro 400 Bad Request.

Esse processo força o uso elevado de CPU, grandes alocações transitórias de memória e pressão aumentada na coleta de lixo (garbage-collection), o que pode levar à degradação do rendimento e da responsividade ou a uma negação de serviço completa, particularmente em implantações com restrição de memória.

Recomendações Atualize para a versão 1.14.3. Como medida paliativa temporária, restrinja o acesso ao endpoint '/dns-query' ou implemente um firewall de aplicação web (WAF) para limitar o tamanho dos alvos de solicitação GET e do parâmetro dns.