PT-2026-42164 · Isc+3 · Bind 9+3

Publicado

2026-05-17

·

Atualizado

2026-07-02

·

CVE-2026-5947

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas BIND 9 versões 9.20.0 até 9.20.22 BIND 9 versões 9.21.0 até 9.21.21 BIND 9 versões 9.20.9-S1 até 9.20.22-S1
Description Uma condição de corrida ocorre quando o BIND recebe uma mensagem DNS assinada com SIG(0). Durante a validação da assinatura, se o limite de recursive-clients for atingido (como ocorreria durante um flood de consultas) e a mensagem for descartada, pode ocorrer uma violação de use-after-free. Isso acontece porque o processo de validação SIG(0) pode tentar ler a mensagem DNS após ela ter sido descartada, levando a um comportamento indefinido. Use-after-free é um cenário onde um programa continua a usar um ponteiro após ele ter sido liberado, o que pode causar travamentos ou execução imprevisível.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

RCE

Race Condition

Time Of Check To Time Of Use

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-5947
ECHO-E0DD-6C9A-2E1C
OPENSUSE-SU-2026:10874-1
OPENSUSE-SU-2026:21123-1
RHSA-2026:7412
SUSE-SU-2026:22198-1
SUSE-SU-2026:2673-1
USN-8293-1

Produtos afetados

Bind 9
Bind Server
Linuxmint
Ubuntu