CVE-2024-37894

Squid vulnerable to heap corruption in ESI assign

CVSS 6.3 MEDIUMEPSS 6.3%CWE-787

En resumen

Squid, una herramienta de caché web, tiene un fallo al procesar variables ESI que permite escribir en áreas de memoria que no debería. Un atacante puede usarlo para derribar el servicio o hacerlo funcionar incorrectamente.

Detalle técnico

Existe una vulnerabilidad de escritura fuera de límites en el mecanismo de asignación de variables ESI (Edge Side Includes) de Squid, permitiendo corrupción de memoria heap. La explotación requiere procesamiento de contenido ESI manipulado; la vulnerabilidad puede resultar en denegación de servicio mediante bloqueo de la aplicación o comportamiento indefinido.

Resumen generado y traducido por IA a partir de la descripción oficial.

Squid is a caching proxy for the Web supporting HTTP, HTTPS, FTP, and more. Due to an Out-of-bounds Write error when assigning ESI variables, Squid is susceptible to a Memory Corruption error. This error can lead to a Denial of Service attack.

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H

Productos afectados

squid-cache · squid

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/squid-cache/squid/commit/f411fe7d75197852f0e5ee85027a06d58dd8df4c.patch https://github.com/squid-cache/squid/security/advisories/GHSA-wgvf-q977-9xjg https://lists.debian.org/debian-lts-announce/2025/03/msg00009.html https://security.netapp.com/advisory/ntap-20240719-0001/