Високосерйозну вразливість CVE-2025-40778 у BIND 9 DNS-резолверах можна експлуатувати віддалено без аутентифікації для отруєння кешу: зловмисники інжектують фальшиві DNS-записи під час запитів, перенаправляючи трафік на шкідливі сайти, поширюючи малвар чи перехоплюючи дані. BIND надто лояльний до записів в відповідях за певних умов, впливаючи на рекурсивні сервери та авторитетні з рекурсією. PoC доступний на GitHub (N3mes1s), але реальної експлуатації на 28 жовтня не зафіксовано.

Вражає BIND 9.18.0-9.18.40, 9.20.0-9.20.14, 9.21.0-9.21.13 та preview. Патчі: 9.18.41, 9.20.15, 9.21.14, preview-S1. Виправляють також DoS та інше отруєння. Обхідів немає — оновлюйте негайно. Рекомендації: обмежити рекурсію довіреним, увімкнути DNSSEC, моніторити кеш, скоротити TTL кешу до 24 год. Багато дистрибутивів Linux патчують.