Desbordamiento de búfer en Squid
- Las versiones de Squid anteriores a la 4.14 no han sido probadas y se debe suponer que son vulnerables.
- Todos los Squid-4.x hasta 4.17 inclusive son vulnerables.
- Todos los Squid-5.x hasta 5.9 inclusive son vulnerables.
- Todos los Squid-6.x hasta 6.3 inclusive son vulnerables.
StarryNight ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir al atacante llevar a cabo una ejecución remota de código.
Este error está corregido en la versión 6.4 de Squid.
En caso de no poder actualizar deshabilitar permisos de acceso a URN.
Debido a una gestión incorrecta del búfer, Squid es vulnerable a un desbordamiento del búfer del montón y a un posible ataque de ejecución remota de código al procesar URN.
Este problema permite a un servidor remoto realizar un ataque de desbordamiento de búfer al entregar respuestas URN Trivial-HTTP, potencialmente permitiendo la entrega de hasta 4KB de memoria heap asignada por Squid al cliente.
La memoria revelada puede incluir credenciales de seguridad u otros datos confidenciales.
Se ha asignado el identificador CVE-2025-54574 para esta vulnerabilidad.