CVE-2026-25791

Nome do Software Vulnerável e Versões Afetadas Versões do Sliver anteriores à 1.7.0

Descrição O listener de comando e controle (C2) DNS aceita mensagens de inicialização TOTP não autenticadas e aloca sessões DNS do lado do servidor sem validar os valores OTP, mesmo quando o EnforceOTP está ativado. As sessões são armazenadas indefinidamente nesse fluxo, permitindo que um ator remoto não autenticado crie sessões repetidamente e esgote a memória do servidor. O código vulnerável está localizado em server/c2/dns.go (linhas 84-90, 378-390, 490-521), client/command/jobs/dns.go (linhas 46-52), implant/sliver/transports/dnsclient/dnsclient.go (linhas 896-900) e protobuf/dnspb/dns.proto (linha 22). O vetor de ataque envolve o envio de consultas DNS repetidas com uma mensagem protobuf mínima do tipo TOTP para o listener DNS acessível na rede. O caminho de tratamento do tipo DNSMessageType TOTP é o gatilho. Isso pode levar a uma negação de serviço remota não autenticada por esgotamento de recursos.

Recomendações Versões anteriores à 1.7.0 devem ser atualizadas para a versão 1.7.0 ou posterior.