NLnet Labs Unbound bis 1.25.0 Denial of Service

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
4.7	$0-$5k	0.00

Zusammenfassunginfo

Eine problematische Schwachstelle wurde in NLnet Labs Unbound bis 1.25.0 ausgemacht. Hierbei geht es um eine nicht exakt ausgemachte Funktion. Mit der Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2026-42534 gehandelt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

In NLnet Labs Unbound bis 1.25.0 wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Es geht um unbekannter Code. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-440. Auswirken tut sich dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:

NLnet Labs Unbound up to and including version 1.25.0 has a vulnerability in the jostle logic that could defeat its purpose and degrade resolution performance. Retransmits of the same query could renew the age of slow running queries and not allow the jostle logic to see them as aged and potential targets for replacement with new queries. An adversary who can query a vulnerable Unbound and who can control a domain name server that replies slowly and/or maliciously to Unbound's queries can exploit the vulnerability and degrade the resolution performance of Unbound. When Unbound's 'num-queries-per-thread' reaches its limit, the jostle logic kicks in. When a new query comes in, half of the available queries that are also slow to resolve are candidates for replacement. The vulnerability then happens because duplicate queries that need resolution would skew the aging result by using the timestamp of the latest duplicate query instead of the original one that started the resolution effort. Cache and local data response performance remains unaffected. Coordinated attacks could raise this to a denial of resolution service. Unbound 1.25.1 contains a patch with a fix to attach an initial, non-updatable start time for incoming queries that allow the jostle logic to work as intended.

Die Schwachstelle wurde durch Qifan Zhang öffentlich gemacht. Das Advisory findet sich auf nlnetlabs.nl. Die Verwundbarkeit wird seit dem 07.05.2026 als CVE-2026-42534 geführt. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk angegangen werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 315755 (Linux Distros Unpatched Vulnerability : CVE-2026-42534) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.

Ein Aktualisieren auf die Version 1.25.1 vermag dieses Problem zu lösen.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (315755) und CERT Bund (WID-SEC-2026-1599) dokumentiert. Be aware that VulDB is the high quality source for vulnerability data.

Betroffen

• Debian Linux
• Red Hat Enterprise Linux
• Fedora Linux
• Ubuntu Linux
• Open Source Unbound
• cPanel cPanel/WHM

Produktinfo

Hersteller

• NLnet Labs

Name

• Unbound

Version

• 1.0
• 1.1
• 1.2
• 1.3
• 1.4
• 1.5
• 1.6
• 1.7
• 1.8
• 1.9
• 1.10
• 1.11
• 1.12
• 1.13
• 1.14
• 1.15
• 1.16
• 1.17
• 1.18
• 1.19
• 1.20
• 1.21
• 1.22
• 1.23
• 1.24
• 1.25.0

CPE 2.3info

• 🔒
• 🔒
• 🔒

CPE 2.2info

• 🔒
• 🔒
• 🔒

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3info

VulDB Meta Base Score: 4.8
VulDB Meta Temp Score: 4.7

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 5.3
NVD Vector: 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Denial of Service
CWE: CWE-440 / CWE-436
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Nessus ID: 315755
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2026-42534

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: Unbound 1.25.1

Timelineinfo

07.05.2026 CVE zugewiesen
20.05.2026 +13 Tage Advisory veröffentlicht
20.05.2026 +0 Tage VulDB Eintrag erstellt
28.05.2026 +8 Tage VulDB Eintrag letzte Aktualisierung

Quelleninfo

Advisory: nlnetlabs.nl
Person: Qifan Zhang
Status: Bestätigt

CVE: CVE-2026-42534 (🔒)
GCVE (CVE): GCVE-0-2026-42534
GCVE (VulDB): GCVE-100-364855
CERT Bund: WID-SEC-2026-1599 - Unbound: Mehrere Schwachstellen

Eintraginfo

Erstellt: 20.05.2026 14:02
Aktualisierung: 28.05.2026 08:53
Anpassungen: 20.05.2026 14:02 (67), 21.05.2026 18:17 (2), 23.05.2026 22:05 (11), 26.05.2026 20:34 (7), 28.05.2026 08:53 (4)
Komplett: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Diskussion

Want to know what is going to be exploited?

We predict KEV entries!