CVE-2026-0397CVE-2026-0397 是一个存在于 PowerDNS dnsdist 中的安全漏洞。该漏洞源于内部 Web 服务器的跨域资源共享(CORS)策略配置不当。在默认情况下,内部 Web 服务器是禁用的,但如果管理员启用了该功能,攻击者可能利用此漏洞诱骗已登录的管理员访问恶意网站。随后,攻击者可以借此从仪表板中提取有关当前运行配置的敏感信息。
该漏洞的核心在于 PowerDNS dnsdist 的内部 Web 服务器对 CORS 头部处理不当。CORS 机制允许服务器指定哪些外部域可以访问其资源。如果配置错误(例如,允许任意 Origin 或不加验证地反射请求头中的 Origin),浏览器将放松同源策略限制。
攻击流程如下:攻击者构建一个恶意网页,其中包含针对 dnsdist 仪表板端点(如 /api/v1/servers/localhost/config)的 JavaScript 请求。当管理员在浏览器中保持登录状态并访问该恶意页面时,脚本会发起跨域请求。由于 CORS 策略宽松,浏览器不会拦截响应,恶意脚本即可读取返回的配置数据,并将其发送到攻击者控制的服务器。整个过程需要用户交互(点击链接或访问页面),且主要威胁机密性。