Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Desbordamiento de búfer en Squid

Fecha de publicación 01/08/2025
Identificador
INCIBE-2025-0420
Importancia
5 - Crítica
Recursos Afectados
  • Las versiones de Squid anteriores a la 4.14 no han sido probadas y se debe suponer que son vulnerables.
  • Todos los Squid-4.x hasta 4.17 inclusive son vulnerables.
  • Todos los Squid-5.x hasta 5.9 inclusive son vulnerables.
  • Todos los Squid-6.x hasta 6.3 inclusive son vulnerables.
Descripción

StarryNight ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir al atacante llevar a cabo una ejecución remota de código.

Solución

Este error está corregido en la versión 6.4 de Squid.

En caso de no poder actualizar deshabilitar permisos de acceso a URN.

Detalle

Debido a una gestión incorrecta del búfer, Squid es vulnerable a un desbordamiento del búfer del montón y a un posible ataque de ejecución remota de código al procesar URN.
Este problema permite a un servidor remoto realizar un ataque de desbordamiento de búfer al entregar respuestas URN Trivial-HTTP, potencialmente permitiendo la entrega de hasta 4KB de memoria heap asignada por Squid al cliente.

La memoria revelada puede incluir credenciales de seguridad u otros datos confidenciales.

Se ha asignado el identificador CVE-2025-54574 para esta vulnerabilidad.

CVE
Explotación
No