Vulnerabilidad en envoy (CVE-2025-64763)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-693
Fallo del mecanismo de protección
Fecha de publicación:
03/12/2025
Última modificación:
05/12/2025
Descripción
Envoy es un proxy de borde/intermedio/servicio de alto rendimiento. En las versiones 1.33.12, 1.34.10, 1.35.6, 1.36.2 y anteriores, cuando Envoy está configurado en modo proxy TCP para manejar solicitudes CONNECT, acepta datos del cliente antes de emitir una respuesta 2xx y reenvía esos datos a la conexión TCP ascendente. Si un proxy de reenvío ascendente de Envoy responde con un estado que no es 2xx, esto puede causar un estado de túnel CONNECT desincronizado. Por defecto, Envoy continúa permitiendo datos CONNECT tempranos para evitar interrumpir las implementaciones existentes. El indicador de tiempo de ejecución 'envoy.reloadable_features.reject_early_connect_data' puede configurarse para rechazar solicitudes CONNECT que envían datos antes de una respuesta 2xx cuando los intermediarios ascendentes de Envoy pueden rechazar el establecimiento de un túnel CONNECT.
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:* | 1.33.13 (excluyendo) | |
| cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:* | 1.34.0 (incluyendo) | 1.34.11 (excluyendo) |
| cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:* | 1.35.0 (incluyendo) | 1.35.7 (excluyendo) |
| cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:* | 1.36.0 (incluyendo) | 1.36.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página