infurmazione nantu à e vulnerabilità in u servitore proxy , chì sò stati eliminati in silenziu l'annu passatu in a liberazione di Squid 4.8. I prublemi sò prisenti in u codice per processà u bloccu "@" à l'iniziu di l'URL ("user@host") è permettenu di scaccià e regule di restrizzione di l'accessu, avvelenà u cuntenutu di u cache, è eseguisce un cross-site. attaccu di scripting.
- - u cliente, utilizendu un URL apposta, pò scaccià e regule specificate utilizendu a direttiva url_regex è uttene infurmazione cunfidenziale nantu à u proxy è u trafficu processatu (accessu à l'interfaccia di Cache Manager).
- - manipulendu i dati di u nome d'utilizatore in l'URL, pudete ottene u almacenamentu di cuntenutu fittiziu per una pagina specifica in u cache, chì, per esempiu, pò esse usatu per urganizà l'esekzione di u vostru codice JavaScript in u cuntestu di altri siti.
Source: opennet.ru