Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-05008

Опубликовано: 10 апр. 2025
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции ReadParams реализации протокола FastCGI библиотеки fcgi2 (fcgi) связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки запросов, содержащих специально сформированные значения параметров nameLen или valueLen

Вендор

ООО «Ред Софт»
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
fcgi2

Версия ПО

7.3 (РЕД ОС)
до 2.4.5 (fcgi2)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF) для фильтрации сетевого трафика;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- ограничение доступа к устройству из внешних сетей (Интернет).
Использование рекомендаций:
https://github.com/FastCGI-Archives/fcgi2/releases/tag/2.4.5
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 8%
0.00033
Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20250515-09

CVSS3: 10
redos
около 1 месяца назад

Уязвимость fcgi

ubuntu логотип

CVE-2025-23016

CVSS3: 9.3
ubuntu
5 месяцев назад

FastCGI fcgi2 (aka fcgi) 2.x through 2.4.4 has an integer overflow (and resultant heap-based buffer overflow) via crafted nameLen or valueLen values in data to the IPC socket. This occurs in ReadParams in fcgiapp.c.

nvd логотип

CVE-2025-23016

CVSS3: 9.3
nvd
5 месяцев назад

FastCGI fcgi2 (aka fcgi) 2.x through 2.4.4 has an integer overflow (and resultant heap-based buffer overflow) via crafted nameLen or valueLen values in data to the IPC socket. This occurs in ReadParams in fcgiapp.c.

msrc логотип

CVE-2025-23016

CVSS3: 9.3
msrc
около 2 месяцев назад

Описание отсутствует

debian логотип

CVE-2025-23016

CVSS3: 9.3
debian
5 месяцев назад

FastCGI fcgi2 (aka fcgi) 2.x through 2.4.4 has an integer overflow (an ...

EPSS

Процентиль: 8%
0.00033
Низкий

10 Critical

CVSS3

10 Critical

CVSS2