V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-40907
CVE
Средний

Версии FCGI от 0.44 до 0.82 для Perl включают уязвимую версию библиотеки FastCGI fcgi2 (также известной как fcgi). Включенная библиотека Fa…

CVSS
5.3
Средний
EPSS
0.01
p39
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Версии FCGI от 0.44 до 0.82 для Perl включают уязвимую версию библиотеки FastCGI fcgi2 (также известной как fcgi). Включенная библиотека FastCGI затронута уязвимостью CVE-2025-23016, вызывающей целочисленное переполнение (и последующее переполнение буфера в куче) посредством специально созданных значений nameLen или valueLen в данных, отправляемых на IPC-сокет. Это происходит в функции ReadParams в файле fcgiapp.c. Эксплуатация этой уязвимости возможна в 32-разрядных системах, где при распределении памяти с помощью malloc происходит целочисленное переполнение, что может привести к переполнению буфера в куче [1]. Уязвимость может быть использована для достижения удаленного выполнения кода, особенно в встроенных устройствах с ограниченными средствами защиты, такими как отсутствие ASLR или NX [2]. Для защиты рекомендуется обновить библиотеку FastCGI до исправленной версии 2.4.5 [3] и ограничить потенциальный удаленный доступ к сокету FastCGI, объявив его как UNIX-сокет [4]. Источники: - [1] http://www.openwall.com/lists/oss-security/2025/04/23/4 - [2] https://www.synacktiv.com/en/publications/cve-2025-23016-exploiting-the-fastcgi-library - [3] https://github.com/FastCGI-Archives/fcgi2/releases/tag/2.4.5 - [4] https://github.com/FastCGI-Archives/fcgi2/issues/67 - [5] https://github.com/perl-catalyst/FCGI/issues/14

Теги · CWE
Без аутентификации
CWE-122
CAPEC-92
Затронутые продукты
Fcgi 0.44–0.82
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: N
Отсутствует (N)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: L
Низкое (L)
Индикаторы эксплуатации
EPSS
0.005 · p39
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
libfcgi-perlОтслеживается
libfcgi-perlОтслеживается
libfcgi-perlОтслеживается
libfcgi-perlОтслеживается
libfcgi-perlОтслеживается
libfcgi-perlОтслеживается
fcgi*Отслеживается
Источники данных
DEB
CVE
UBU
Связанные уязвимости