製品・ソフトウェアに関する情報

JVN脆弱性詳細

The CoreDNS AuthorsのCoreDNSにおける認証アルゴリズムの不適切な実装に関する脆弱性

Title	The CoreDNS AuthorsのCoreDNSにおける認証アルゴリズムの不適切な実装に関する脆弱性
Summary	CoreDNSはプラグインを連結して動作するDNSサーバーです。バージョン1.14.3以前では、tsigプラグインが非プレーンDNSトランスポート（DoT、DoH、DoH3、DoQ、およびgRPC）上でバイパスされる可能性がありました。これは、tsigプラグインが自身で検証を行わずにトランスポートライターのTsigStatus()を信頼していたためです。DoHおよびDoH3のライターのTsigStatus()は常にnilを返し、DoTサーバーはdns.Server上でTsigSecretを設定しておらず、DoQおよびgRPCのライターも無条件にnilを返していました。これにより、認証されていないリモートクライアントがTSIGベースの認証を回避し、tsig require allポリシーの背後にあるリソースにアクセスできる可能性がありました。TCPおよびUDPによるプレーンDNSは影響を受けませんでした。この問題はバージョン1.14.3で修正されました。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 5, 2026, midnight
Registration Date	May 11, 2026, 11:11 a.m.
Last Update	May 11, 2026, 11:11 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-33190	https://www.cve.org/CVERecord?id=CVE-2026-33190
National Vulnerability Database (NVD)
2	CVE-2026-33190	https://nvd.nist.gov/vuln/detail/CVE-2026-33190

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-303	https://cwe.mitre.org/data/definitions/303.html

ベンダー情報

No	Name	URL
GitHub
1	TSIG authentication bypass on DoT, DoH, DoH3, DoQ, and gRPC Advisory coredns/coredns GitHub	https://github.com/coredns/coredns/security/advisories/GHSA-qhmp-q7xh-99rh

その他

No	Name	URL
関連文書
1	Release v1.14.3 coredns/coredns GitHub	https://github.com/coredns/coredns/releases/tag/v1.14.3

Change Log

No	Changed Details	Date of change
1	[2026年05月11日] 掲載	May 11, 2026, 11:11 a.m.

NVD Vulnerability Information

CVE-2026-33190

Summary	CoreDNS is a DNS server that chains plugins. In versions prior to 1.14.3, the tsig plugin can be bypassed on non-plain-DNS transports (DoT, DoH, DoH3, DoQ, and gRPC) because it trusts the transport writer's TsigStatus() instead of performing verification itself. The DoH and DoH3 writer's TsigStatus() always returns nil, the DoT server does not set TsigSecret on the dns.Server, and the DoQ and gRPC writers also unconditionally return nil. This allows an unauthenticated remote client to bypass TSIG-based authentication and access resources intended to be restricted behind a tsig require all policy. Plain DNS over TCP and UDP are not affected. This issue has been fixed in version 1.14.3.
Publication Date	May 6, 2026, 5:16 a.m.
Registration Date	May 7, 2026, 4:07 a.m.
Last Update	May 9, 2026, 1:01 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:coredns.io:coredns::::::::					1.14.3

Related information, measures and tools

No	URL	refsource
1	https://github.com/coredns/coredns/releases/tag/v1.14.3	security-advisories@github.com
2	https://github.com/coredns/coredns/security/advisories/GHSA-qhmp-q7xh-99rh	security-advisories@github.com
3	https://github.com/coredns/coredns/security/advisories/GHSA-qhmp-q7xh-99rh	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-303	認証アルゴリズム上の問題	https://cwe.mitre.org/data/definitions/303.html