CVE-2026-28810 : Predictable DNS Transaction IDs Enable Cache Poisoning in Built-in Resolver

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2026-28810 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

Predictable DNS Transaction IDs Enable Cache Poisoning in Built-in Resolver

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

Generation of Predictable Numbers or Identifiers vulnerability in Erlang/OTP kernel (inet_res, inet_db modules) allows DNS Cache Poisoning. The built-in DNS resolver (inet_res) uses a sequential, process-global 16-bit transaction ID for UDP queries and does not implement source port randomization. Response validation relies almost entirely on this ID, making DNS cache poisoning practical for an attacker who can observe one query or predict the next ID. This conflicts with RFC 5452 recommendations for mitigating forged DNS answers. inet_res is intended for use in trusted network environments and with trusted recursive resolvers. Earlier documentation did not clearly state this deployment assumption, which could lead users to deploy the resolver in environments where spoofed DNS responses are possible. This vulnerability is associated with program files lib/kernel/src/inet_db.erl and lib/kernel/src/inet_res.erl. This issue affects OTP from OTP 17.0 until OTP 28.4.2, 27.3.4.10 and 26.2.5.19 corresponding to kernel from 3.0 until 10.6.2, 10.2.7.4 and 9.2.4.11.

来源: 美国国家漏洞数据库 NVD

CVSS Information

N/A

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

可预测问题

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

Erlang/OTP 安全漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

Erlang/OTP是Erlang/OTP开源的一个JavaScript编写的处理处理异常的库。该库可以捕捉node.js内置API引发的异常。 Erlang/OTP 28.4.2之前版本、27.3.4.10之前版本和26.2.5.19之前版本存在安全漏洞，该漏洞源于生成可预测的数字或标识符，可能导致DNS缓存投毒攻击。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
Erlang	OTP	3.0 ~ *	`cpe:2.3:a:erlang:erlang\/otp::::::::`
Erlang	OTP	17.0 ~ *	`cpe:2.3:a:erlang:erlang\/otp::::::::`

二、漏洞 CVE-2026-28810 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-28810 的情报信息

Please 登录 to view more intelligence information

四、漏洞 CVE-2026-28810 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2026-28810 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-28810 的公开POC

三、漏洞 CVE-2026-28810 的情报信息

四、漏洞 CVE-2026-28810 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2026-28810 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-28810 的公开POC

三、漏洞 CVE-2026-28810 的情报信息

四、漏洞 CVE-2026-28810 的评论

发表评论

一、漏洞 CVE-2026-28810 基础信息