CVE-2025-54588

Nome do Software Vulnerável e Versões Afetadas Versões do Envoy de 1.34.0 a 1.34.4 Versão 1.35.0 do Envoy

Descrição O Envoy é um proxy L7 e barramento de comunicação de código aberto projetado para grandes arquiteturas orientadas a serviços modernas. As versões afetadas contêm uma vulnerabilidade de use-after-free (UAF) no cache DNS, levando ao término anormal do processo. O problema ocorre na implementação do Dynamic Forward Proxy do Envoy quando um callback de conclusão para uma resolução DNS aciona novas resoluções DNS ou remove resoluções pendentes existentes. Esta condição pode ocorrer quando o Filtro Dynamic Forwarding está habilitado, a flag de runtime envoy.reloadable features.dfp cluster resolves hosts está habilitada e o cabeçalho Host é modificado entre os filtros Dynamic Forwarding e Router.

Recomendações Versões do Envoy de 1.34.0 a 1.34.4: Atualize para a versão 1.34.5 ou posterior. Versão 1.35.0 do Envoy: Atualize para a versão 1.35.1 ou posterior. Como solução alternativa para todas as versões afetadas, defina a flag de runtime envoy.reloadable features.dfp cluster resolves hosts como false.