звесткі аб уразлівасцях у проксі-серверы , якія без лішняй агалоскі былі ўхіленыя яшчэ летась у выпуску Squid 4.8. Праблемы прысутнічаюць у кодзе апрацоўкі блока "@" у пачатку URL ("user@host") і дазваляюць абыйсці правілы абмежавання доступу, атруціць змесціва кэша і здзяйсняць напад з выкарыстаннем межсайтового скрыптынгу.
- - кліент пры дапамозе спецыяльна аформленага URL можа абыйсці правілы, зададзеныя пры дапамозе дырэктывы url_regex, і атрымаць канфідэнцыйныя звесткі аб проксі і апрацоўваным трафіку (атрымаць доступ да інтэрфейсу Cache Manager).
- - праз маніпуляцыю з дадзенымі пра імя карыстальніка ў URL можна дамагчыся захавання ў кэшы фіктыўнага змесціва для вызначанай старонкі, што напрыклад, можа выкарыстоўвацца для арганізацыі выканання свайго JavaScript-кода ў кантэксце іншых сайтаў.
Крыніца: opennet.ru