CVE-2026-54388

Nome do Software Vulnerável e Versões Afetadas Tinyproxy versões anteriores a 1.11.4

Descrição O Tinyproxy não rejeita requisições que contenham múltiplos cabeçalhos Content-Length com valores diferentes. O software encaminha todos os cabeçalhos duplicados para o backend, mas utiliza apenas o primeiro valor para determinar a quantidade de bytes do corpo da requisição a serem consumidos. Esse comportamento permite que atacantes remotos dessincronizem o estado do parser do proxy e do backend, levando ao HTTP Request Smuggling. Essa técnica possibilita a injeção de requisições HTTP arbitrárias ao backend, o que pode resultar em envenenamento de cache, bypass de controle de acesso e sequestro de requisições.

Recomendações Atualize para a versão que contenha o commit 364cdb6.