PT-2024-3314 · Tinyproxy+3 · Tinyproxy+3
Dimitrios Tatsis
·
Publicado
2024-05-01
·
Atualizado
2025-08-22
·
CVE-2023-49606
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões 1.10.0 a 1.11.1 do Tinyproxy
Descrição
Existe uma vulnerabilidade do tipo “use-after-free” na análise dos cabeçalhos de conexão HTTP no Tinyproxy. Essa vulnerabilidade pode ser acionada por um cabeçalho HTTP especialmente criado, levando à corrupção de memória e potencialmente permitindo a execução remota de código. Um invasor pode explorar essa falha fazendo uma solicitação HTTP não autenticada. Estima-se que mais de 50.000 instâncias do Tinyproxy estejam expostas a essa vulnerabilidade, com quase 52.000 instâncias expostas à Internet em risco.
Recomendações
Para as versões 1.10.0 a 1.11.1 do Tinyproxy, atualize para a versão 1.11.2 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à função de análise de cabeçalhos de conexão HTTP vulnerável até que um patch esteja disponível. Evite usar as versões afetadas do Tinyproxy em ambientes de produção, especialmente aqueles expostos à Internet pública, até que o problema seja resolvido.
Exploit
Correção
RCE
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Linuxmint
Tinyproxy
Ubuntu