VDB-328906 · CVE-2025-62504 · GHSA-gcxr-6vrp-wff3

Envoy fino a 1.33.11/1.34.9/1.35.5/1.36.1 per_connection_buffer_limit_bytes buffer overflow

CVSS Punteggio meta temporaneo	Prezzo attuale dell'exploit (≈)	Punteggio di interesse CTI
6.0	$0-$5k	0.00

Riassuntoinformazioni

È stata trovata una vulnerabilità classificata come critico in Envoy fino a 1.33.11/1.34.9/1.35.5/1.36.1. Viene interessata una funzione sconosciuta. Per causa della manipolazione di un input sconosciuto se causa una vulnerabilità di classe buffer overflow. Questa vulnerabilità è segnalata come CVE-2025-62504. L'attacco si effettua con la rete. Nessun exploit disponibile. È raccomandato aggiornare il componente coinvolto.

Dettagliinformazioni

È stata rilevata una vulnerabilità di livello critico in Envoy fino a 1.33.11/1.34.9/1.35.5/1.36.1. Da questa vulnerabilità è interessato la funzione per_connection_buffer_limit_bytes. Attraverso la manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe buffer overflow. Questo agisce su la disponibilità.

L'advisory è scaricabile da github.com. Questo punto di criticità è identificato come CVE-2025-62504. L'uso è semplice. Con la rete può partire l'attacco. Nessun metodo di utilizzo sui dettagli tecnici disponibili.

Per lo scanned Nessus, è disponibile un plugin, numero ID 281808 (Amazon Linux 2 : ecs-service-connect-agent, --advisory ALAS2ECS-2025-093 (ALASECS-2025-093)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

L'aggiornamento alla versione 1.33.12, 1.34.10, 1.35.6 o 1.36.2 elimina questa vulnerabilità.

La vulnerabilità è documentata anche nel database Tenable (281808) e CERT Bund (WID-SEC-2025-2433). If you want to get best quality of vulnerability data, you may have to visit VulDB.

Componente colpito

Amazon Linux 2
Google Cloud Platform

Prodottoinformazioni

Nome

Envoy

Versione

Licenza

gratuito

CPE 2.3informazioni

CPE 2.2informazioni

CVSSv4informazioni

VulDB Vettore: 🔒
VulDB Affidabilità: 🔍

CVSSv3informazioni

VulDB Punteggio meta-base: 6.1
VulDB Punteggio meta temporaneo: 6.0

VulDB Punteggio di base: 4.3
VulDB Punteggio temporaneo: 4.1
VulDB Vettore: 🔒
VulDB Affidabilità: 🔍

NVD Punteggio di base: 7.5
NVD Vettore: 🔒

CNA Punteggio di base: 6.5
CNA Vettore (GitHub_M): 🔒

CVSSv2informazioni

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vettore	Complessità	Autenticazione	Riservatezza	Integrità	Disponibilità
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare

VulDB Punteggio di base: 🔒
VulDB Punteggio temporaneo: 🔒
VulDB Affidabilità: 🔍

Sfruttamentoinformazioni

Classe: Buffer overflow
CWE: CWE-416 / CWE-119
CAPEC: 🔒
ATT&CK: 🔒

Fisico: No
Locale: No
Remoto: Si

Disponibilità: 🔒
Stato: Non definito

EPSS Score: 🔒
EPSS Percentile: 🔒

Previsione dei prezzi: 🔍
Preventivo attuale: 🔒

0-Day	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Oggi	Sbloccare	Sbloccare	Sbloccare	Sbloccare

Nessus ID: 281808
Nessus Nome: Amazon Linux 2 : ecs-service-connect-agent, --advisory ALAS2ECS-2025-093 (ALASECS-2025-093)

Intelligence sulle minacceinformazioni

Interesse: 🔍
Attori attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinformazioni

Raccomandazione: Aggiornamento
Stato: 🔍

Tempo 0 giorni: 🔒

Aggiornamento: Envoy 1.33.12/1.34.10/1.35.6/1.36.2

Sequenza temporaleinformazioni

15/10/2025 CVE assegnato
17/10/2025 +2 giorni Advisory pubblicato
17/10/2025 +0 giorni Voce VulDB creata
07/01/2026 +82 giorni Ultimo aggiornamento VulDB