PowerDNS Security Advisory 2026-02 for DNSdist 漏洞总结 该安全公告针对 PowerDNS DNSdist 发布了多个安全漏洞修复,受影响版本主要为 1.9.0 至 1.9.11 以及 2.0.0 至 2.0.2。未受影响版本为 1.9.12 和 2.0.3。 以下是具体漏洞详情: 1. CVE-2026-0396: HTML injection in the web dashboard 漏洞概述: 攻击者可以通过发送构造的 DNS 查询来触发基于域名的动态规则,从而在内部 Web 仪表板中注入 HTML 内容。 影响范围: PowerDNS DNSdist 1.9.0 - 1.9.11, 2.0.0 - 2.0.2 修复方案: 升级到已修复的版本。 2. CVE-2026-0397: Information disclosure via CORS misconfiguration 漏洞概述: 当启用内部 Web 服务器时,攻击者可以诱骗已登录仪表板的管理员访问恶意网站,从而窃取仪表板中的运行配置信息。这是跨域资源共享 (CORS) 策略配置不当导致的。 影响范围: PowerDNS DNSdist 1.9.0 - 1.9.11, 2.0.0 - 2.0.2 修复方案: 升级到已修复的版本,或者禁用内部 Web 服务器。 3. CVE-2026-24028: Out-of-bounds read when parsing DNS packets via Lua 漏洞概述: 当自定义 Lua 代码使用 解析 DNS 数据包时,攻击者可以通过发送构造的 DNS 响应数据包触发越界读取。这可能导致崩溃、拒绝服务或潜在的信息泄露。 影响范围: PowerDNS DNSdist 1.9.0 - 1.9.11, 2.0.0 - 2.0.2 修复方案: 升级到已修复的版本,或者停止使用 。 4. CVE-2026-24029: DNS over HTTPS ACL bypass 漏洞概述: 当 (Lua 中的 ) 选项被禁用时(默认启用),在基于 提供程序的 DNS over HTTPS (DoH) 前端上,ACL 检查会被跳过,允许所有客户端绕过配置的 ACL 发送 DoH 查询。 影响范围: PowerDNS DNSdist 1.9.0 - 1.9.11, 2.0.0 - 2.0.2 修复方案: 升级到已修复的版本,或者保持 选项启用。 5. CVE-2026-24030: Unbounded memory allocation for DoQ and DoH3 漏洞概述: 攻击者可以通过发送 DoQ 或 DoH3 查询,诱使 DNSdist 在处理时分配过多内存,导致拒绝服务。在某些情况下,系统可能会进入内存耗尽状态并终止进程。 影响范围: PowerDNS DNSdist 1.9.0 - 1.9.11, 2.0.0 - 2.0.2 修复方案: 升级到已修复的版本。 6. CVE-2026-27854: Use after free when parsing EDNS options in Lua 漏洞概述: 攻击者可以通过发送构造的 DNS 查询来触发释放后使用(use-after-free)漏洞。在某些情况下, 方法可能引用了已被修改的 DNS 数据包版本,从而触发释放后使用并导致拒绝服务。 影响范围: PowerDNS DNSdist 1.9.0 - 1.9.11, 2.0.0 - 2.0.2 修复方案: 升级到已修复的版本,或者避免使用 。 7. CVE-2026-27853: Out-of-bounds write when rewriting large DNS packets 漏洞概述: 攻击者可以通过发送构造的 DNS 响应来触发越界写入。当使用 或 方法时,如果重写的数据包比初始响应大且超过 65535 字节,可能导致崩溃并引发拒绝服务。 影响范围: PowerDNS DNSdist 1.9.0 - 1.9.11, 2.0.0 - 2.0.2 修复方案**: 升级到已修复的版本,或者避免使用 或 。