The Closest Encloser Proof aspect of the DNS protocol (in RFC 5155 when RFC 9276 guidance is skipped) allows remote attackers to cause a denial of service (CPU consumption for SHA-1 computations) via DNSSEC responses in a random subdomain attack, aka the "NSEC3" issue. The RFC 5155 specification implies that an algorithm must perform thousands of iterations of a hash function in certain situations.
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:HDebian
OSDebian10.011.0Fedora Project Fedora
OSFedoraproject3839Isc Bind
APPIsc9.0.0 – 9.16.48 (bez)9.19.0 – 9.19.21 (bez)9.9.3 – 9.16.48 (bez)9.18.0 – 9.18.24 (bez)9.18.11 – 9.18.24 (bez)Netapp Active Iq Unified Manager
APPNetappwszystkie wersjeNetapp Bootstrap Os
OSNetappwszystkie wersjeNetapp H300s
HWNetappwszystkie wersjeNetapp H410c
HWNetappwszystkie wersjeNetapp H410s
HWNetappwszystkie wersjeNetapp H500s
HWNetappwszystkie wersjeNetapp H700s
HWNetappwszystkie wersjeNetapp Hci Baseboard Management Controller
APPNetappwszystkie wersjeNetapp Hci Compute Node
HWNetappwszystkie wersjePowerdns Recursor
APPPowerdns5.0.0 – 5.0.2 (bez)4.9.0 – 4.9.3 (bez)< 4.8.5Red Hat Enterprise Linux
OSRedhat6.07.08.08.28.4
🟢
PATCH AVAILABLE
Vendor update available. Deploy in standard maintenance cycle.
Tags
DoS
CWE
References
Related vulnerabilities
CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)
CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt
Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)
CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt
Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki