CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-23016

Critical
Published: Translated: NVD NIST

Summary

FastCGI fcgi2 w wersjach od 2.x do 2.4.4 zawiera przepełnienie całkowitej liczby (i wynikowe przepełnienie bufora w stercie) spowodowane przez spreparowane wartości nameLen lub valueLen w danych przesyłanych do gniazda IPC. Problem ten występuje w funkcji ReadParams w pliku fcgiapp.c.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do pamięci, co może skutkować wyciekiem danych lub zdalnym wykonaniem kodu. Organizacje powinny być świadome potencjalnych zagrożeń związanych z bezpieczeństwem aplikacji korzystających z tej biblioteki.

Recommendation

Zaleca się aktualizację do najnowszej wersji FastCGI, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do gniazd IPC w celu zminimalizowania ryzyka wykorzystania tej luki.

Original NVD description (English source)

FastCGI fcgi2 (aka fcgi) 2.x through 2.4.4 has an integer overflow (and resultant heap-based buffer overflow) via crafted nameLen or valueLen values in data to the IPC socket. This occurs in ReadParams in fcgiapp.c.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS