CVE-2026-42304

Nome do Software Vulnerável e Versões Afetadas Twisted versões anteriores a 26.4.0

Descrição O módulo twisted.names está suscetível a um ataque de Negação de Serviço (DoS) causado por exaustão de recursos durante a descompressão de nomes DNS. Um invasor remoto não autenticado pode enviar um pacote DNS TCP especialmente elaborado contendo ponteiros de compressão profundamente encadeados para explorar essa falha. Isso ignora a lógica de prevenção de loops existente, forçando o reator Twisted de thread única a realizar milhões de pesquisas recursivas, o que congela o servidor e o impede de lidar com novas conexões ou processar E/S. O problema reside na função decode() de twisted.names.dns.Name, onde não há limite para o número de desreferenciações de ponteiros por mensagem, e o conjunto de visitados é redefinido para cada registro de Pergunta (Question). Isso permite que um invasor inclua milhares de perguntas que se referem à mesma cadeia longa de ponteiros, fazendo com que o analisador repita pesquisas complexas.

Recomendações Atualize para a versão 26.4.0 ou posterior. Como mitigação temporária, restrinja o acesso à funcionalidade do servidor DNS ou implemente filtragem em nível de rede para limitar o número de perguntas DNS por pacote TCP.