CVE-2025-8671 [高] | Denial of Service（Excessive Server Resource…）

A mismatch caused by client-triggered server-sent stream resets between HTTP/2 specifications and the internal architectures of some HTTP/2 implementations may result in excessive server resource consumption leading to denial-of-service (DoS). By opening streams and then rapidly triggering the server to reset them—using malformed frames or flow control errors—an attacker can exploit incorrect stream accounting. Streams reset by the server are considered closed at the protocol level, even though backend processing continues. This allows a client to cause the server to handle an unbounded number of concurrent streams on a single connection. This CVE will be updated as affected product details are released.

#	日付	旧 EPSS スコア	新 EPSS スコア	Δ（新 − 旧）
1	2026-06-23	6.89%	4.60%	-2.28%
2	2026-06-15	3.27%	6.89%	+3.61%
3	2026-06-09	—	3.27%	—

日付

旧 EPSS スコア

新 EPSS スコア

Δ（新 − 旧）

2026-06-23

6.89%

4.60%

-2.28%

2026-06-15

3.27%

6.89%

+3.61%

2026-06-09

—

3.27%

—

ベーススコア	バージョン	深刻度	ベクトル	悪用しやすさ	影響	スコアの出典
7.5	3.1	HIGH	`CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H` クリックして展開攻撃ベクター (AV:N) インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。攻撃の複雑さ (AC:L) 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。必要な権限 (PR:N) 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。ユーザーの関与 (UI:N) メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:N) 機微情報の漏えいは想定しにくい。完全性への影響 (I:N) 改ざん・なりすましによる信頼毀損は軽微か、想定されない。可用性への影響 (A:H) 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。	3.9	3.6	134c704f-9b21-4f2e-91b3-4a467353bcc0

ベーススコア

バージョン

深刻度

ベクトル

悪用しやすさ

影響

スコアの出典

7.5

3.1

HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H クリックして展開

攻撃ベクター (AV:N): インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:L): 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:N): 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。
ユーザーの関与 (UI:N): メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:U): 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:N): 機微情報の漏えいは想定しにくい。
完全性への影響 (I:N): 改ざん・なりすましによる信頼毀損は軽微か、想定されない。
可用性への影響 (A:H): 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。

3.9

3.6

134c704f-9b21-4f2e-91b3-4a467353bcc0

CVE-2025-8671 の OS トラッカー

vendor	priority	summary	link
`alpine`	—	CVE-2025-8671: 3 source package rows (dnsdist, lighttpd, varnish); 9 state rows across 6 repos (3.19-main, 3.20-main, 3.21-main, 3.22-main, edge-community, edge-main); fixed 9, open 0.	https://security.alpinelinux.org/vuln/CVE-2025-8671
`debian`	unimportant	CVE-2025-8671 unimportant priority: Debian including 3 source packages (h2o, haproxy, varnish), 12 status rows across 5 suites (bookworm, bullseye, forky, sid, trixie): resolved 8, open 4.	https://security-tracker.debian.org/tracker/CVE-2025-8671
`redhat`	—	—	https://access.redhat.com/security/cve/CVE-2025-8671
`suse`	high	CVE-2025-8671 severity important: SUSE including 23 source package names (dnsdist-1.9.11-150700.3.6.1, dnsdist-1.9.11-160000.1.1, …), 27 product×package rows across 7 product lines (SUSE Linux Enterprise High Availability Extension 12 SP5, SUSE Linux Enterprise Module for Basesystem 15 SP7, … (7 product lines)): Fixed 24, Known Not Affected 2, First Fixed 1.	https://www.suse.com/security/cve/CVE-2025-8671/
`ubuntu`	medium	CVE-2025-8671 medium priority: Ubuntu including 5 source packages (dnsdist, h2o, haproxy, lighttpd, varnish), 40 status rows across 9 suites (bionic, focal, jammy, noble, plucky, questing, trusty, upstream, xenial): needs-triage 20, not-affected 12, ignored 3, released 3, DNE 1, needed 1.	https://ubuntu.com/security/CVE-2025-8671

CVE-2025-8671 の影響を受けるソフトウェア／構成

ベンダー	製品	バージョン	生の CPE
データセットに影響を受ける製品はありません。

CVE-2025-8671 の参考情報

URL	タグ
https://galbarnahum.com/made-you-reset
https://github.com/h2o/h2o/commit/4729b661e3c6654198d2cc62997e1af58bef4b80
https://github.com/h2o/h2o/security/advisories/GHSA-mrjm-qq9m-9mjq
https://gitlab.isc.org/isc-projects/bind9/-/issues/5325
https://kb.cert.org/vuls/id/767506
https://support2.windriver.com/index.php?page=security-notices
https://varnish-cache.org/security/VSV00017.html
https://www.fastlystatus.com/incident/377810
https://www.suse.com/support/kb/doc/?id=000021980
http://www.openwall.com/lists/oss-security/2025/08/13/6
http://www.openwall.com/lists/oss-security/2025/09/18/1
https://deepness-lab.org/publications/madeyoureset/
https://github.com/Kong/kong/discussions/14731
https://github.com/envoyproxy/envoy/issues/40739
https://github.com/varnish/hitch/issues/397
https://www.imperva.com/blog/madeyoureset-turning-http-2-server-against-itself/
https://www.kb.cert.org/vuls/id/767506

URL

タグ

https://galbarnahum.com/made-you-reset

https://github.com/h2o/h2o/commit/4729b661e3c6654198d2cc62997e1af58bef4b80

https://github.com/h2o/h2o/security/advisories/GHSA-mrjm-qq9m-9mjq

https://gitlab.isc.org/isc-projects/bind9/-/issues/5325

https://kb.cert.org/vuls/id/767506

https://support2.windriver.com/index.php?page=security-notices

https://varnish-cache.org/security/VSV00017.html

https://www.fastlystatus.com/incident/377810

https://www.suse.com/support/kb/doc/?id=000021980

http://www.openwall.com/lists/oss-security/2025/08/13/6