CVE-2025-23016

Nome do Software Vulnerável e Versões Afetadas FastCGI fcgi2 versões 2.x a 2.4.4

Descrição O problema está relacionado a um estouro de inteiro e um consequente estouro de buffer no heap na biblioteca FastCGI, especificamente na função ReadParams em fcgiapp.c. Isso ocorre quando valores manipulados de nameLen ou valueLen são enviados nos dados para o socket IPC. A vulnerabilidade pode ser explorada para executar código arbitrário em dispositivos embarcados vulneráveis, incluindo câmeras e equipamentos de IoT. É particularmente preocupante para sistemas de 32 bits devido à falta de recursos de segurança modernos. A exploração requer acesso local ou de rede ao socket IPC do FastCGI e a capacidade de enviar parâmetros manipulados.

Recomendações Para as versões 2.x a 2.4.4 do FastCGI fcgi2, atualize para a versão 2.4.5 ou posterior para resolver o problema. Como medida temporária, considere restringir o acesso ao socket IPC para minimizar o risco de exploração. Evite utilizar valores manipulados de nameLen ou valueLen no endpoint de API afetado até que o problema seja resolvido.