CVE-2026-4890Dnsmasq是一款广泛应用的DNS转发器和DHCP服务器。近日披露的CVE-2026-4890漏洞存在于其DNSSEC验证功能中。由于验证逻辑存在缺陷,远程攻击者无需经过身份认证,即可向目标发送特制的恶意DNS数据包。成功利用该漏洞将导致dnsmasq服务进程崩溃或陷入资源耗尽状态,从而引发拒绝服务,中断正常的域名解析服务,对网络基础设施可用性构成严重威胁。
该漏洞的根源在于dnsmasq处理DNSSEC验证逻辑时的健壮性不足。当dnsmasq作为DNS转发器接收到经过精心构造的恶意DNS响应包时,其在解析DNSSEC相关记录(如DNSKEY、RRSIG等)的过程中存在边界条件错误或资源管理缺陷。攻击者无需具备任何权限,即可通过网络向目标dnsmasq服务发送特制数据包。由于DNS协议基于UDP,攻击者可以伪造源IP进行攻击,增加了追踪难度。当漏洞被触发时,dnsmasq进程可能会因内存访问违例而崩溃,或因陷入死循环而耗尽CPU资源。根据CVSS向量分析,该漏洞主要影响可用性(A:H),导致合法用户的DNS查询请求无法得到响应,从而造成大范围的拒绝服务。对于使用dnsmasq的网关设备或服务器,这将直接导致网络连接中断。