Una vulnerabilidad crítica en la biblioteca FastCGI permite que un atacante ejecute código arbitrario en dispositivos integrados.
El defecto rastreado como CVE-2025-23016 con una puntuación CVSS de 9.3 afecta a todas las versiones FCGI FCGI2 (también conocidas como FCGI) 2.x a 2.4.4, plantea un riesgo significativo para el dispositivo utilizando una biblioteca de desarrollo de servidor web ligero.
Defecto de desbordamiento de Integer Fastcgi
Baptiste Mayaud de Synacktiv descubrió la vulnerabilidad durante un proyecto de investigación interna y la reveló el 23 de abril de 2025.
Esto se debe a un desbordamiento entero de la función Readparams en fcgiapp.c. Esto provoca un desbordamiento del búfer basado en el montón al procesar los valores de Vallen enviados a un namen o enchufe IPC diseñado.
El problema ocurre mientras que la asignación de memoria para los parámetros HTTP.
Si tanto Namelen como Vallen son iguales a 0x7fffffffffffff, agregar +2 causará desbordamiento entero en el sistema de 32 bits, lo que resulta en asignaciones de memoria más pequeñas de lo previsto. Esto permite a los atacantes escribir más allá de los límites del amortiguador asignado, dijo Synacktiv a Cybersecurity News.
La vulnerabilidad explota la rapidez con que CGI maneja los parámetros del protocolo. La biblioteca lee la longitud del parámetro de la secuencia entrante, pero no puede validar la operación ADD antes de asignarse correctamente.
En un sistema de 32 bits, agregar otro byte con 0x7ffffffff + 0x7ffffffff + 1 = 0xffffffffff, dará como resultado una envoltura. 0x7ffffffff + 0x7ffffffff + 2 = 0.
Productos de factor de riesgo FastCGI FCGI2 (también conocido como FCGI) Versiones 2.x a 2.4.4, dispositivos integrados, como el desbordamiento de búfer basado en IoT, con cámaras que ejecutan cámaras y sistemas de 32 bits. Parámetros – Arquitectura del sistema de 32 bits – Versión vulnerable de la biblioteca Fastcgi (≤2.4.4) CVSS 3.1 Puntuación 99.3 (crítico)
Sistemas de impacto y afectados
Esta vulnerabilidad afecta principalmente a dispositivos integrados, como cámaras y dispositivos IoT que ejecutan bibliotecas FastCGI en arquitecturas de 32 bits.
Estos sistemas a menudo carecen de mitigaciones de exploit modernas, como la protección ASLR y la protección NX, lo que los hace particularmente vulnerables.
Es importante tener en cuenta que esta vulnerabilidad no afecta a PHP-FPM. Esto reproduce el protocolo FastCGI.
Los investigadores explotaron la memoria del montón para sobrescribir el puntero de la función en la estructura FCGX_Stream.
Al dirigirse al puntero de la función FillBuffProc, un atacante puede secuestrar el flujo de ejecución y ejecutar cualquier comando.
La explotación exitosa requiere:
Acceda al socket Fastcgi (potencialmente a través de SSRF) para enviar la longitud del parámetro creado para activar un desbordamiento entero, anulando la estructura FCGX_Stream y redirigiendo la ejecución
Un exploit de prueba de concepto publicado por SynActtiv demuestra la ejecución del código al reemplazar el puntero de FillBuffProc con la dirección de una función del sistema y pasar un comando shell como parámetro.
El parche ha sido lanzado
Los expertos en seguridad recomiendan las siguientes acciones:
Actualizado a Fastcgi Library versión 2.4.5 o posterior. Esto incluye una solución para CVE-2025-23016, utilizando un enchufe UNIX en lugar de un enchufe TCP para la comunicación CVE-2025-23016 FastCGI.
Esta vulnerabilidad destaca los desafíos de seguridad a largo plazo de las bibliotecas utilizadas en los sistemas integrados.
Las correcciones implementadas en la versión 2.4.5 se desbordan el entero de la dirección agregando verificaciones de límite apropiadas antes de la asignación.
Las organizaciones que usan FastCGI en su infraestructura, particularmente en contextos incorporados, deben priorizar inmediatamente el parche de los sistemas afectados.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
