CVE-2025-54588 in Envoy
Sumário
de VulDB • 30/05/2026
O Envoy é um proxy L7 e um barramento de comunicação de código aberto, projetado para grandes arquiteturas modernas orientadas a serviços. As versões de 1.34.0 a 1.34.4 e 1.35.0 contêm uma vulnerabilidade use-after-free (UAF) no cache de DNS, causando a terminação anormal do processo. A vulnerabilidade está na implementação do Dynamic Forward Proxy do Envoy, ocorrendo quando um callback de conclusão para uma resolução de DNS aciona novas resoluções de DNS ou remove resoluções pendentes existentes. Essa condição pode ocorrer quando as seguintes condições são atendidas: o Dynamic Forwarding Filter está habilitado, a flag de tempo de execução `envoy.reloadable_features.dfp_cluster_resolves_hosts` está habilitada e o cabeçalho Host é modificado entre o Dynamic Forwarding Filter e os filtros Router. Este problema é resolvido nas versões 1.34.5 e 1.35.1. Para contornar este problema, defina a flag de tempo de execução `envoy.reloadable_features.dfp_cluster_resolves_hosts` como false.
If you want to get best quality of vulnerability data, you may have to visit VulDB.