SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

Jun 22, 2026

Segu-Info » , » Squidbleed (CVE-2026-47729): expone credenciales HTTP en texto plano de usuarios

Squidbleed (CVE-2026-47729): expone credenciales HTTP en texto plano de usuarios

Jun 22, 2026, 4:22:00 PM   Comenta primero!
  ,  

Una sobrelectura de la pila en el proxy web Squid puede filtrar la solicitud HTTP en texto plano de otro usuario, incluyendo cualquier credencial o token de sesión que contenga, a cualquier persona que ya tenga permiso para enviar tráfico a través del mismo proxy.

El fallo se remonta a un cambio en el análisis FTP de 1997 y aún persiste en la configuración predeterminada de Squid. Investigadores de Calif.io lo revelaron en junio y lo denominaron Squidbleed (CVE-2026-47729), en referencia a Heartbleed, que filtraba memoria de la misma manera.

Squid describe esto como un ataque por parte de un cliente de confianza: alguien que ya tiene permiso para usar el proxy, no cualquier host aleatorio en internet. Esto coincide con el entorno habitual de Squid: redes compartidas como escuelas, oficinas y redes Wi-Fi públicas. En estos entornos, el atacante es simplemente otro usuario del mismo proxy.

Además, la filtración solo afecta al tráfico que Squid puede leer. El HTTPS normal utiliza un túnel CONNECT opaco, por lo que Squid nunca ve su contenido. El tráfico expuesto es HTTP en texto plano, además de configuraciones con terminación TLS donde Squid descifra e inspecciona.

El atacante también necesita el proxy para acceder a un servidor FTP que controla en el puerto 21. Tanto FTP como ese puerto están activados por defecto.

El fallo reside en el analizador de listados de directorios FTP de Squid. La demostración de Calif extrae una cabecera de autorización de una víctima que comparte el mismo proxy, suficiente para actuar como ese usuario. El código de prueba de concepto es público y, hasta la fecha, no se ha informado de ninguna explotación en la práctica.

Qué hacer

Si aplicas un parche, verifica la corrección, no solo la versión. Confirma que la protección se encuentra en FtpGateway.cc o consulta la versión anterior de tu distribución, ya que las distribuciones incluyen sus propias compilaciones (Debian incluye Squid 5.7).

El hilo público sigue siendo inconsistente: el mantenedor Amos Jeffries primero dijo que Squid 7.6 incluía la corrección, luego lo corrigió a 7.7, y el 22 de junio Salvatore Bonaccorso de Debian señaló que la confirmación a la que se hace referencia parece estar ya en 7.6.

La solución es sencilla: una comprobación del terminador nulo antes de las llamadas vulnerables a `strchr`, integrada en la rama de desarrollo en abril y en la versión 7 en mayo. Squid 7.6 corrige por separado la vulnerabilidad CVE-2026-50012, un desbordamiento de búfer en el montón de `cache_digest` sin relación con esta.

La solución más eficaz es la que recomiendan los investigadores: desactivar FTP. Chromium dejó de usar FTP hace años, y la mayoría de las redes apenas lo utilizan, por lo que deshabilitarlo elimina esta vulnerabilidad automáticamente, independientemente de la compilación que se utilice.

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Post a Comment

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!