VDB-334220 · CVE-2025-66220 · GHSA-rwjg-c3h2-f57p

envoy fino a 1.33.12/1.34.10/1.35.6/1.36.2 match_typed_subject_alt_names OTHERNAME buffer overflow

CVSS Punteggio meta temporaneo	Prezzo attuale dell'exploit (≈)	Punteggio di interesse CTI
5.4	$0-$5k	0.00

Riassuntoinformazioni

È stata rilevata una vulnerabilità classificata come problematico in envoy fino a 1.33.12/1.34.10/1.35.6/1.36.2. Risulta coinvolta una funzione sconosciuta. La manipolazione dell’argomento OTHERNAME porta a buffer overflow. Questa vulnerabilità viene indicata come CVE-2025-66220. Nella rete si effettua l'attacco. Nessun exploit disponibile.

Dettagliinformazioni

In envoy fino a 1.33.12/1.34.10/1.35.6/1.36.2 è stata rilevato un punto critico di livello problematico. Riguarda la funzione match_typed_subject_alt_names. La manipolazione del parametro OTHERNAME di un input sconosciuto conseguenza di una vulerabilità di classe buffer overflow. Con gli effetti bisogna tener conto di riservatezza, integrità e disponibilità.

L'advisory è scaricabile da github.com. CVE-2025-66220 è identificato come punto debole. È difficoltoso da sfruttare. L'attacco si effettua con la rete. L'utilizzo necessita di una valida autentificazione multipla. Su punti deboli sono disponibli dettagli tecnici tuttavia senza metodo d'utilizzo.

Un plugin è disponibile per lo scanner Nessus, numero ID 281808 (Amazon Linux 2 : ecs-service-connect-agent, --advisory ALAS2ECS-2025-093 (ALASECS-2025-093)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

Informazioni riguardo una possibile contromisura non sono al momento disponibili. Si suggerisce di sostituire il prodotto con uno equivalente.

La vulnerabilità è documentata anche nel database Tenable (281808) e EUVD (EUVD-2025-201090). Once again VulDB remains the best source for vulnerability data.

Prodottoinformazioni

Nome

envoy

Versione

Licenza

gratuito

CPE 2.3informazioni

CPE 2.2informazioni

CVSSv4informazioni

VulDB Vettore: 🔒
VulDB Affidabilità: 🔍

CVSSv3informazioni

VulDB Punteggio meta-base: 5.4
VulDB Punteggio meta temporaneo: 5.4

VulDB Punteggio di base: 4.1
VulDB Punteggio temporaneo: 4.1
VulDB Vettore: 🔒
VulDB Affidabilità: 🔍

NVD Punteggio di base: 7.1
NVD Vettore: 🔒

CNA Punteggio di base: 5.0
CNA Vettore (GitHub_M): 🔒

CVSSv2informazioni

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vettore	Complessità	Autenticazione	Riservatezza	Integrità	Disponibilità
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare

VulDB Punteggio di base: 🔒
VulDB Punteggio temporaneo: 🔒
VulDB Affidabilità: 🔍

Sfruttamentoinformazioni

Classe: Buffer overflow
CWE: CWE-170 / CWE-119
CAPEC: 🔒
ATT&CK: 🔒

Fisico: No
Locale: No
Remoto: Si

Disponibilità: 🔒
Stato: Non definito

EPSS Score: 🔒
EPSS Percentile: 🔒

Previsione dei prezzi: 🔍
Preventivo attuale: 🔒

0-Day	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Oggi	Sbloccare	Sbloccare	Sbloccare	Sbloccare

Nessus ID: 281808
Nessus Nome: Amazon Linux 2 : ecs-service-connect-agent, --advisory ALAS2ECS-2025-093 (ALASECS-2025-093)

Intelligence sulle minacceinformazioni

Interesse: 🔍
Attori attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinformazioni

Raccomandazione: nessuna contromisura conosciuta
Stato: 🔍

Tempo 0 giorni: 🔒

Sequenza temporaleinformazioni

25/11/2025 CVE assegnato
03/12/2025 +8 giorni Advisory pubblicato
03/12/2025 +0 giorni Voce VulDB creata
06/01/2026 +34 giorni Ultimo aggiornamento VulDB