Squidbleed: Falha de Proxy de 29 Anos Vaza Credenciais HTTP em Texto Claro
Uma vulnerabilidade de heap over-read de décadas no proxy web Squid pode expor requisições HTTP em texto claro—incluindo credenciais e tokens de sessão—para outros usuários no mesmo proxy. O bug, enraizado em código de análise FTP de 1997, permanece ativo em configurações padrão.
TL;DR
- Squidbleed é um heap over-read no proxy Squid que vaza requisições HTTP em texto claro entre usuários compartilhando a mesma instância do proxy
- A vulnerabilidade origina-se da lógica de análise FTP adicionada em 1997 e persiste em configurações padrão do Squid
- Invasores com acesso ao proxy podem interceptar credenciais, tokens de sessão e dados de requisição sensíveis de outros usuários
- Pesquisadores da Calif.io divulgaram a falha em junho de 2026; correção e endurecimento de configuração são críticos para implantações afetadas
Uma vulnerabilidade crítica de divulgação de informações apelidada de Squidbleed foi descoberta no proxy web Squid amplamente implantado. A falha decorre de uma condição de heap over-read que pode vazar requisições HTTP em texto claro de outro usuário—incluindo credenciais incorporadas e tokens de sessão—para qualquer invasor com acesso à mesma instância do proxy.
As raízes da vulnerabilidade remontam ao código de análise FTP introduzido em 1997, tornando-a um dos problemas de segurança de proxy mais antigos. Apesar de sua idade, o bug permanece ativo na configuração padrão do Squid, colocando em risco imediato as organizações que dependem do Squid para filtragem de tráfego e cache.
Pesquisadores da Calif.io divulgaram a vulnerabilidade em junho de 2026, destacando a necessidade de correção urgente e revisão de configuração em implantações afetadas.
Detalhes Técnicos e Superfície de Ataque
- Condição de heap over-read permite ler memória adjacente contendo dados de requisição HTTP de outros usuários
- Afeta qualquer ambiente onde múltiplos usuários ou serviços roteiam tráfego através do mesmo proxy Squid
- Requisições HTTP em texto claro são totalmente expostas, incluindo cabeçalhos, cookies e tokens de autenticação
- Vulnerabilidade está presente em configurações padrão do Squid, não requerendo configuração especial para exploração
- Invasor requer apenas acesso básico ao proxy para disparar e observar dados vazados
Risco e Recomendações de Mitigação
- Organizações usando Squid devem aplicar imediatamente patches de segurança do projeto Squid
- Revisar controles de acesso ao proxy para limitar quem pode enviar tráfego através de instâncias vulneráveis
- Considerar forçar HTTPS/TLS para todo o tráfego para prevenir exposição em texto claro mesmo se vazamentos de heap ocorrerem
- Auditar logs para atividade suspeita do proxy ou requisições repetidas de usuários únicos
- Avaliar soluções alternativas de proxy ou instâncias de proxy isoladas para ambientes de alta segurança
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.