CVE-2024-37894

Squid vulnerable to heap corruption in ESI assign

CVSS 6.3 MEDIUMEPSS 6.3%CWE-787

Em resumo

O Squid, um programa que armazena em cache conteúdo web, tem um erro ao lidar com variáveis ESI que permite escrever em áreas de memória indevidas. Um atacante pode usar isso para derrubar o serviço ou fazer ele funcionar incorretamente.

Detalhe técnico

Uma vulnerabilidade de escrita fora dos limites existe no mecanismo de atribuição de variáveis ESI (Edge Side Includes) do Squid, permitindo corrupção de memória heap. A exploração requer processamento de conteúdo ESI malformado; a vulnerabilidade pode resultar em negação de serviço através de travamento da aplicação ou comportamento indefinido.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Squid is a caching proxy for the Web supporting HTTP, HTTPS, FTP, and more. Due to an Out-of-bounds Write error when assigning ESI variables, Squid is susceptible to a Memory Corruption error. This error can lead to a Denial of Service attack.

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H

Produtos afetados

squid-cache · squid

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/squid-cache/squid/commit/f411fe7d75197852f0e5ee85027a06d58dd8df4c.patch https://github.com/squid-cache/squid/security/advisories/GHSA-wgvf-q977-9xjg https://lists.debian.org/debian-lts-announce/2025/03/msg00009.html https://security.netapp.com/advisory/ntap-20240719-0001/