PT-2022-25392 · Tinyproxy+2 · Tinyproxy+2
Yikesoftware
·
Publicado
2022-09-19
·
Atualizado
2025-01-10
·
CVE-2022-40468
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Tinyproxy anteriores ao commit 84f203f
Descrição
O problema está relacionado a um possível vazamento de dados remanescentes da pilha (heap) quando são utilizados modelos de página de erro personalizados contendo variáveis especiais não padronizadas. Isso ocorre porque o Tinyproxy commit 84f203f e versões anteriores utilizam buffers não inicializados na função
process request().Recomendações
Para versões anteriores ao commit 84f203f, considere atualizar para uma versão que inicialize os buffers corretamente na função
process request() para evitar o possível vazamento de dados remanescentes da pilha. Como solução temporária, evite usar modelos de página de erro personalizados com variáveis especiais não padronizadas até que um patch esteja disponível.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Tinyproxy
Ubuntu