Vulnerabilities ›

CVE-2025-68151

High

CoreDNS Resource Exhaustion Vulnerability in gRPC, HTTPS, and HTTP/3 Servers

CWE-770 — Weakness Type

                    Published: Jan 8, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

CoreDNS is a DNS server that chains plugins. Prior to version 1.14.0, multiple CoreDNS server implementations (gRPC, HTTPS, and HTTP/3) lack critical resource-limiting controls. An unauthenticated remote attacker can exhaust memory and degrade or crash the server by opening many concurrent connections, streams, or sending oversized request bodies. The issue is similar in nature to CVE-2025-47950 (QUIC DoS) but affects additional server types that do not enforce connection limits, stream limits, or message size constraints. Version 1.14.0 contains a patch.

🤖 AI Executive Summary

CoreDNS versions prior to 1.14.0 contain a critical resource exhaustion vulnerability (CVE-2025-68151) affecting gRPC, HTTPS, and HTTP/3 server implementations. Unauthenticated remote attackers can exhaust server memory and cause denial of service by opening numerous concurrent connections, streams, or sending oversized request bodies due to missing resource-limiting controls. Organizations must upgrade to version 1.14.0 immediately to mitigate this high-severity threat.

📄 Description (Arabic)

تمثل هذه الثغرة خللاً أمنياً خطيراً في خوادم CoreDNS حيث تفتقر تطبيقات الخوادم المتعددة (gRPC وHTTPS وHTTP/3) إلى ضوابط حاسمة لتقييد الموارد. يستغل المهاجمون هذا الضعف من خلال فتح عدد كبير من الاتصالات أو التدفقات المتزامنة أو إرسال أجسام طلبات ضخمة الحجم دون مصادقة، مما يؤدي إلى استنزاف ذاكرة الخادم وتدهور الأداء أو تعطل الخدمة بالكامل. تصنف الثغرة ضمن CWE-770 (تخصيص الموارد دون حدود أو تقييد)، وتشبه في طبيعتها الثغرة CVE-2025-47950 ولكنها تؤثر على أنواع خوادم إضافية. يتوفر تصحيح رسمي في الإصدار 1.14.0 يعالج هذه المشكلة من خلال فرض حدود على الاتصالات والتدفقات وأحجام الرسائل.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات CoreDNS السابقة للإصدار 1.14.0 على ثغرة حرجة لاستنزاف الموارد (CVE-2025-68151) تؤثر على تطبيقات خوادم gRPC وHTTPS وHTTP/3. يمكن للمهاجمين عن بُعد غير المصادق عليهم استنزاف ذاكرة الخادم والتسبب في رفض الخدمة من خلال فتح اتصالات أو تدفقات متزامنة متعددة أو إرسال أجسام طلبات ضخمة بسبب غياب ضوابط تقييد الموارد. يجب على المؤسسات الترقية إلى الإصدار 1.14.0 فوراً للحد من هذا التهديد عالي الخطورة.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 07:59

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations using CoreDNS for DNS resolution in cloud-native environments, Kubernetes clusters, or service mesh architectures face significant risk of service disruption. Financial institutions, government entities, and critical infrastructure operators relying on CoreDNS may experience DNS outages affecting business continuity, customer services, and compliance with NCA ECC and SAMA CSF availability requirements.

🏢 Affected Saudi Sectors

الخدمات المالية والمصرفية الجهات الحكومية الاتصالات وتقنية المعلومات البنية التحتية الحرجة الخدمات السحابية الرعاية الصحية التجارة الإلكترونية

🎯 MITRE ATT&CK Techniques

T1498 T1499.001 T1499.002 T1071.001

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately upgrade all CoreDNS instances to version 1.14.0 or later to apply the official patch that implements resource-limiting controls for gRPC, HTTPS, and HTTP/3 servers.

2. Implement network-level rate limiting and connection throttling using firewalls, load balancers, or reverse proxies to restrict concurrent connections from single sources until patching is complete.

3. Monitor CoreDNS server resource utilization (memory, CPU, connection counts) using SIEM solutions and establish alerts for abnormal spikes that may indicate exploitation attempts or DoS attacks.

🔧 خطوات المعالجة (العربية)

1. الترقية الفورية لجميع نسخ CoreDNS إلى الإصدار 1.14.0 أو أحدث لتطبيق التصحيح الرسمي الذي يطبق ضوابط تقييد الموارد لخوادم gRPC وHTTPS وHTTP/3.

2. تطبيق تقييد معدل الطلبات وخنق الاتصالات على مستوى الشبكة باستخدام جدران الحماية أو موازنات الأحمال أو الوكلاء العكسيين لتقييد الاتصالات المتزامنة من مصادر فردية حتى اكتمال التصحيح.

3. مراقبة استخدام موارد خوادم CoreDNS (الذاكرة، المعالج، عدد الاتصالات) باستخدام حلول SIEM وإنشاء تنبيهات للارتفاعات غير الطبيعية التي قد تشير إلى محاولات استغلال أو هجمات رفض الخدمة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

1-2-1 (Vulnerability Management) 1-2-2 (Patch Management) 4-1-1 (Network Security Controls) 5-1-1 (Availability Management)

🔵 SAMA CSF

CCC-01 (Cybersecurity Governance) CCC-04 (Vulnerability and Patch Management) CCC-08 (Network Security) CCC-10 (Business Continuity and Disaster Recovery)

🟡 ISO 27001:2022

A.12.6.1 (Management of Technical Vulnerabilities) A.13.1.1 (Network Controls) A.17.1.1 (Planning Information Security Continuity)

🔗 References & Sources 3

🔗

https://github.com/coredns/coredns/commit/0d8cbb1a6bcb6bc9c1a489865278b8725fa20812

security-advisories@github.com

Patch

🔗

https://github.com/coredns/coredns/pull/7490

security-advisories@github.com

Issue Tracking Patch

🔗

https://github.com/coredns/coredns/security/advisories/GHSA-527x-5wrf-22m2

security-advisories@github.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

coredns.io:coredns

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-770

EPSS0.13%

Exploit No

Patch ✓ Yes

Published 2026-01-08

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

patch-available CWE-770

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-68151

Introduce Yourself

Sign In Required