[TLP:CLEAR] Squid opravuje 2 zraniteľnosti
Squid verziou 7.6 opravuje 2 zranitelnosti [1][2].
Autentizovanému vzdialenému útočníkovi je kvôli nesprávnemu spracovaniu odpovede zo škodlivého FTP servera v FTP bráne Squidu umožnené prečítať obsah pamäte patriaci požiadavkám iných používateľov a získať tak ich citlivé údaje [1].
Zraniteľnosť sa nachádza v produkte Squid vo verziách <7.6.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2026-47729 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-125: Out-of-bounds Read at cwe.mitre.org
- CWE-1286: Improper Validation of Syntactic Correctness of Input at cwe.mitre.org
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 6. 2026.
Autentizovanému vzdialenému útočníkovi je kvôli nedostatočnej validácii vstupu pri výmene prehľadu o uloženom obsahu medzi spolupracujúcimi proxy servermi umožnené zaslaním škodlivo upravenej odpovede spôsobiť pretečenie haldy. Útok je obmedzený len na inštancie Squidu skompilované s voľbou --enable-cache-digests [2].
Zraniteľnosť sa nachádza v produkte Squid vo verziách <7.6.
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
Viac informácií:
- CVE-2026-50012 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 6. 2026.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 23. 6. 2026.
