CVE-2025-62409

EPSS 0.01%
Veröffentlicht 16.10.2025 17:47:25
Zuletzt bearbeitet 29.10.2025 19:55:48
Quelle security-advisories@github.com
CVE-Watchlists
Login
Unerledigt
Login

Envoy is a cloud-native, open source edge and service proxy. Prior to 1.36.1, 1.35.5, 1.34.9, and 1.33.10, large requests and responses can potentially trigger TCP connection pool crashes due to flow control management in Envoy. It will happen when the connection is closing but upstream data is still coming, resulting in a buffer watermark callback nullptr reference. The vulnerability impacts TCP proxy and HTTP 1 & 2 mixed use cases based on ALPN. This vulnerability is fixed in 1.36.1, 1.35.5, 1.34.9, and 1.33.10.

Betroffene Produkte Warnungen 0 Metriken 3 CWE 1 Referenzen 4

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch National Vulnerability Database (NVD)

Envoyproxy ≫ Envoy Version < 1.33.11

Envoyproxy ≫ Envoy Version >= 1.34.0 < 1.34.9

Envoyproxy ≫ Envoy Version >= 1.35.0 < 1.35.5

Envoyproxy ≫ Envoy Version1.36.0

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.01%	0.01

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
nvd@nist.gov	7.5	3.9	3.6	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
security-advisories@github.com	6.6	0	0	CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

CWE-476 NULL Pointer Dereference

The product dereferences a pointer that it expects to be valid but is NULL.

https://github.com/envoyproxy/envoy/security/advisories/GHSA-pq33-4jxh-hgm3

Vendor Advisory

https://nvd.nist.gov/vuln/detail/CVE-2025-62409

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2025-62409

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2025-62409

EUVD