Katalog CVE

CVE-2025-23016

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

FastCGI fcgi2 w wersjach od 2.x do 2.4.4 zawiera przepełnienie całkowitej liczby (i wynikowe przepełnienie bufora w stercie) spowodowane przez spreparowane wartości nameLen lub valueLen w danych przesyłanych do gniazda IPC. Problem ten występuje w funkcji ReadParams w pliku fcgiapp.c.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do pamięci, co może skutkować wyciekiem danych lub zdalnym wykonaniem kodu. Organizacje powinny być świadome potencjalnych zagrożeń związanych z bezpieczeństwem aplikacji korzystających z tej biblioteki.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji FastCGI, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do gniazd IPC w celu zminimalizowania ryzyka wykorzystania tej luki.

Oryginalny opis (angielski, źródło NVD)

FastCGI fcgi2 (aka fcgi) 2.x through 2.4.4 has an integer overflow (and resultant heap-based buffer overflow) via crafted nameLen or valueLen values in data to the IPC socket. This occurs in ReadParams in fcgiapp.c.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS