Vulnerabilidad en Squid (CVE-2025-54574)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-122
Desbordamiento de búfer basado en memoria dinámica (Heap)
Fecha de publicación:
01/08/2025
Última modificación:
05/11/2025
Descripción
Squid es un proxy de caché para la web. En las versiones 6.3 y anteriores, Squid es vulnerable a un desbordamiento del búfer de montón y a posibles ataques de ejecución remota de código al procesar URN debido a una gestión incorrecta del búfer. Esto se ha corregido en la versión 6.4. Para solucionar este problema, deshabilite los permisos de acceso a URN.
Impacto
Puntuación base 3.x
9.30
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:squid-cache:squid:*:*:*:*:*:*:*:* | 6.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/squid-cache/squid/commit/a27bf4b84da23594150c7a86a23435df0b35b988
- https://github.com/squid-cache/squid/releases/tag/SQUID_6_4
- https://github.com/squid-cache/squid/security/advisories/GHSA-w4gv-vw3f-29g3
- http://www.openwall.com/lists/oss-security/2025/11/05/5
- https://lists.debian.org/debian-lts-announce/2025/09/msg00027.html