Vulnerabilidad en Squid (CVE-2023-46724)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-125 Lectura fuera de límites

Fecha de publicación:

01/11/2023

Última modificación:

13/02/2025

Descripción

Squid es un proxy de almacenamiento en caché para la Web. Debido a un error de validación incorrecta del índice especificado, las versiones de Squid 3.3.0.1 a 5.9 y 6.0 anteriores a 6.4 compiladas usando `--with-openssl` son vulnerables a un ataque de Denegación de Servicio contra la validación del certificado SSL. Este problema permite que un servidor remoto realice una denegación de servicio contra Squid Proxy iniciando un protocolo de enlace TLS con un certificado SSL especialmente manipulado en una cadena de certificados de servidor. Este ataque se limita a HTTPS y SSL-Bump. Este error se solucionó en la versión 6.4 de Squid. Además, los parches que solucionan este problema para las versiones estables se pueden encontrar en los archivos de parches de Squid. Aquellos que utilicen una versión empaquetada de Squid deben consultar al proveedor del paquete para obtener información sobre la disponibilidad de paquetes actualizados.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto