В популярном веб-прокси Squid раскрыта уязвимость CVE-2026-47729, получившая название Squidbleed. The Hacker News со ссылкой на исследователей Calif.io пишет, что ошибка позволяет пользователю, уже имеющему доступ к одному и тому же Squid-прокси, прочитать фрагменты cleartext HTTP-запросов другого пользователя. В утечку могут попасть заголовки авторизации, cookie или сессионные токены, если такой трафик проходит через прокси в открытом виде.

Ключевая деталь — это не удалённая атака из интернета на любой сервер Squid. Сам Squid описывает сценарий как атаку со стороны доверенного клиента: злоумышленник должен быть допущен к прокси, например в общей корпоративной, школьной или публичной сети. Поэтому риск наиболее заметен там, где один экземпляр Squid обслуживает много пользователей, а правила доступа исторически настроены широко.

Проблема уходит корнями в изменение FTP-парсера 1997 года. Уязвимый код обрабатывает строки листинга FTP-каталогов и пропускает пробельные символы в цикле. Если контролируемый злоумышленником FTP-сервер отдаёт строку, которая заканчивается сразу после временной метки и не содержит имени файла, указатель доходит до нулевого терминатора, но цикл продолжает двигаться за пределы буфера. В результате Squid может скопировать и вернуть данные из соседней памяти как будто это имя файла.

Практическая ценность утечки связана с тем, что Squid переиспользует буферы памяти. Если в таком буфере недавно находился HTTP-запрос другого пользователя, часть его содержимого может сохраниться. Исследователи показали демонстрацию, в которой из памяти удаётся извлечь Authorization header жертвы. При этом обычный HTTPS через CONNECT-туннель остаётся непрозрачным для прокси: Squid не видит содержимое шифрованного соединения, если только сеть не использует TLS-терминацию или инспекцию.

Для эксплуатации атакующему также нужен доступ к FTP-серверу на порту 21, который возвращает специально подготовленный листинг. The Hacker News отмечает, что FTP-поддержка и порт 21 в Squid включены по умолчанию, хотя сам протокол давно утратил массовую роль: современные браузеры уже отказались от FTP. Поэтому один из самых простых вариантов снижения риска — отключить FTP-функциональность, если она не нужна.

Ситуацию осложняет путаница вокруг версий и бэкпортов: в публичном обсуждении упоминались Squid 7.6 и 7.7, а дистрибутивы могут поставлять собственные сборки с отдельными исправлениями. Администраторам стоит не ограничиваться проверкой номера версии, а убедиться, что в коде или пакете присутствует исправление с проверкой нулевого терминатора в FTP-парсере. По состоянию на публикацию источника о массовой эксплуатации в реальных атаках не сообщалось, но proof-of-concept уже доступен.

Источник: The Hacker News, 22 июня 2026