CRITICAL🇬🇧 English

CVE-2025-62168

Squid: ujawnienie danych uwierzytelniających HTTP przez błędy obsługi

CVSS 10.0v3.1pub. 2025-10-17upd. 2025-11-05

Squid w wersjach wcześniejszych niż 7.2 nie usuwa właściwie danych uwierzytelniających HTTP z komunikatów o błędach, co prowadzi do ujawnienia poufnych informacji. Podatność jest szczególnie groźna, ponieważ umożliwia skryptom obejście zabezpieczeń przeglądarki i przechwycenie tokenów lub haseł używanych przez zaufanych klientów.

Pokaż oryginał (EN)

Squid is a caching proxy for the Web. In Squid versions prior to 7.2, a failure to redact HTTP authentication credentials in error handling allows information disclosure. The vulnerability allows a script to bypass browser security protections and learn the credentials a trusted client uses to authenticate. This potentially allows a remote client to identify security tokens or credentials used internally by a web application using Squid for backend load balancing. These attacks do not require Squid to be configured with HTTP authentication. The vulnerability is fixed in version 7.2. As a workaround, disable debug information in administrator mailto links generated by Squid by configuring squid.conf with email_err_data off.

🤖 Analiza AI
Jak działa

W wyniku błędu w mechanizmie obsługi wyjątków (CWE-209, CWE-550) Squid ujawnia w komunikatach o błędach dane uwierzytelniające HTTP, które powinny być zredagowane przed wyświetleniem. Złośliwy skrypt może odczytać te dane z treści odpowiedzi błędu, omijając przy tym standardowe zabezpieczenia przeglądarki. Atak nie wymaga, aby Squid był skonfigurowany z obsługą uwierzytelniania HTTP — wystarczy, że proxy przetwarza ruch aplikacji webowych korzystających z Squid do load balancingu backendu.

Skutki

Zdalny atakujący może uzyskać tokeny bezpieczeństwa lub dane uwierzytelniające używane wewnętrznie przez aplikacje webowe, potencjalnie przejmując sesje lub uzyskując nieautoryzowany dostęp do chronionych zasobów.

Mitygacja

Należy zaktualizować Squid do wersji 7.2, w której podatność została naprawiona. Jako obejście tymczasowe (workaround) można wyłączyć dołączanie informacji debugowania do linków mailto administratora, dodając do pliku squid.conf dyrektywę: email_err_data off.

Kogo dotyczy

Squid-Cache Squid we wszystkich wersjach wcześniejszych niż 7.2

Uwagi

Pomimo oceny CVSS 10.0 (CRITICAL) podatność nie figuruje w katalogu CISA KEV i nie jest potwierdzony publiczny exploit. Wektor ataku jest sieciowy, bez wymagań co do uprawnień i interakcji użytkownika, jednak wpływ na integralność i dostępność jest oceniony jako brak (N), co ogranicza skutki wyłącznie do ujawnienia poufnych informacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
  • Squid Cache Squid

    APP
    Squid-Cache
    < 7.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-33526CRITICAL9.2PL ✓ten sam produkt

Squid: Use-After-Free w obsłudze ruchu ICP umożliwia atak DoS

CVE-2025-54574CRITICAL9.3PL ✓ten sam produkt

Heap buffer overflow w Squid podczas przetwarzania URN – możliwy RCE

CVE-2023-46846CRITICAL9.3ten sam produkt

SQUID is vulnerable to HTTP request smuggling, caused by chunked decoder lenience, allows a remote attacker to...

CVE-2020-15049CRITICAL9.9ten sam produkt

An issue was discovered in http/ContentLengthInterpreter.cc in Squid before 4.12 and 5.x before 5.0.3. A Reque...

CVE-2020-11945CRITICAL9.8ten sam produkt

An issue was discovered in Squid before 5.0.2. A remote attacker can replay a sniffed Digest Authentication no...