Sursa: dnsc.ro
În jur de 50.000 de instanțe ale unui server proxy de tip open source, folosit pentru rețele mici, sunt expuse la atacuri de tip denial-of-service (DoS) și remote-code-execution (RCE), prin intermediul unei vulnerabilități care poate fi exploatată printr-o cerere HTTP.
Un defect de tip use-after-free, documentat ca CVE-2023-49606, există în versiunile 1.11.1 și 1.10.0 ale Tinyproxy. Acesta permite atacatorilor să trimită un antet simplu de tip HTTP Connection, creat special pentru a cauza coruperea memorie, lucru ce poate cauza destabilizarea serviciului de rețea. Acest fapt reiese dintr-un comunicat al platformei de threat-hunting Censys. De asemenea, atacurile mai complexe, de tip RCE, pot fi și ele propagate prin același defect.
Vulnerabilitatea are un scor de 9.8 din 10 pe scara CVSS de severitate a vulnerabilităților.