CVE-2025-40907
FCGI versions 0.44 through 0.82, for Perl, include a vulnerable version of the FastCGI fcgi2 (aka fcgi) library
Em resumo
O módulo FCGI para Perl nas versões 0.44 a 0.82 inclui uma biblioteca FastCGI vulnerável que pode ser explorada enviando dados malformados para derrubar o servidor ou potencialmente executar código.
Detalhe técnico
Um estouro de inteiro na função ReadParams (fcgiapp.c) da biblioteca FastCGI fcgi2 permite que um atacante remoto cause um estouro de buffer na heap através de valores maliciosos em nameLen ou valueLen nos dados do socket IPC. A exploração requer capacidade de enviar mensagens do protocolo FastCGI manipuladas para a aplicação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
FCGI versions 0.44 through 0.82, for Perl, include a vulnerable version of the FastCGI fcgi2 (aka fcgi) library.
The included FastCGI library is affected by CVE-2025-23016, causing an integer overflow (and resultant heap-based buffer overflow) via crafted nameLen or valueLen values in data to the IPC socket. This occurs in ReadParams in fcgiapp.c.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Produtos afetados
ETHER · FCGIQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/FastCGI-Archives/fcgi2/issues/67https://github.com/FastCGI-Archives/fcgi2/releases/tag/2.4.5https://github.com/perl-catalyst/FCGI/issues/14https://patch-diff.githubusercontent.com/raw/FastCGI-Archives/fcgi2/pull/74.patchhttps://www.synacktiv.com/en/publications/cve-2025-23016-exploiting-the-fastcgi-libraryhttp://www.openwall.com/lists/oss-security/2025/04/23/4