CVE-2026-33597该漏洞存在于PowerDNS dnsdist的PRSD(数据包速率源检测)功能模块中。由于该模块在处理特定流量时存在逻辑缺陷,未经身份认证的远程攻击者可通过发送特制的数据包触发该漏洞。成功利用可能导致dnsdist服务进入拒绝服务状态,影响DNS服务的可用性。虽然漏洞利用无需用户交互,但由于攻击复杂度较高,其风险等级被评定为低危。
该漏洞的核心原理在于PowerDNS dnsdist软件中集成的PRSD(数据包速率源检测)检测机制存在设计或实现层面的瑕疵。PRSD旨在通过分析源IP的请求频率来防御DDoS攻击,但在特定条件下,其内部状态机或数据结构处理逻辑未能妥善应对畸形或特制的网络数据包。远程攻击者无需经过身份验证,即可利用网络向量发起攻击。攻击过程涉及精心构造能够触发PRSD逻辑异常的DNS查询报文,例如利用特殊的长度字段、标志位组合或极其高频的特定模式请求。当dnsdist服务端尝试处理这些报文时,可能会触发空指针引用、内存破坏或死循环,导致服务进程意外终止。由于利用该漏洞需要较高的攻击复杂度且主要影响可用性,因此整体风险被控制在低危水平。