CVE-2025-40907
FCGI versions 0.44 through 0.82, for Perl, include a vulnerable version of the FastCGI fcgi2 (aka fcgi) library
En resumen
El módulo FCGI para Perl en versiones 0.44 a 0.82 incluye una biblioteca FastCGI vulnerable que puede explotarse enviando datos malformados para bloquear el servidor o potencialmente ejecutar código.
Detalle técnico
Un desbordamiento de enteros en la función ReadParams (fcgiapp.c) de la biblioteca FastCGI fcgi2 permite que un atacante remoto provoque un desbordamiento de buffer en el heap mediante valores maliciosos en nameLen o valueLen en los datos del socket IPC. La explotación requiere la capacidad de enviar mensajes del protocolo FastCGI manipulados a la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
FCGI versions 0.44 through 0.82, for Perl, include a vulnerable version of the FastCGI fcgi2 (aka fcgi) library.
The included FastCGI library is affected by CVE-2025-23016, causing an integer overflow (and resultant heap-based buffer overflow) via crafted nameLen or valueLen values in data to the IPC socket. This occurs in ReadParams in fcgiapp.c.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Productos afectados
ETHER · FCGI¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/FastCGI-Archives/fcgi2/issues/67https://github.com/FastCGI-Archives/fcgi2/releases/tag/2.4.5https://github.com/perl-catalyst/FCGI/issues/14https://patch-diff.githubusercontent.com/raw/FastCGI-Archives/fcgi2/pull/74.patchhttps://www.synacktiv.com/en/publications/cve-2025-23016-exploiting-the-fastcgi-libraryhttp://www.openwall.com/lists/oss-security/2025/04/23/4