Vulnerabilidad en Open-Xchange (CVE-2025-30193)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/05/2025

Última modificación:

21/05/2025

Descripción

En algunas circunstancias, cuando DNSdist está configurado para permitir un número ilimitado de consultas en una única conexión TCP entrante desde un cliente, un atacante puede provocar una denegación de servicio manipulando un intercambio TCP que provoca el agotamiento de la pila y un bloqueo de DNSdist, lo que provoca una denegación de servicio. La solución es actualizar a la versión 1.9.10 con el parche. Una alternativa consiste en restringir el número máximo de consultas en las conexiones TCP entrantes a un valor seguro, como 50, mediante la configuración setMaxTCPQueriesPerConnection. Agradecemos a Renaud Allard por informarnos sobre este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://dnsdist.org/security-advisories/powerdns-advisory-for-dnsdist-2025-03.html