información sobre vulnerabilidades en el servidor proxy , que fueron eliminados silenciosamente el año pasado con el lanzamiento de Squid 4.8. Los problemas están presentes en el código para procesar el bloque "@" al comienzo de la URL ("usuario@host") y le permiten eludir las reglas de restricción de acceso, envenenar el contenido de la caché y realizar un cross-site. ataque de secuencias de comandos.
- — el cliente, utilizando una URL especialmente diseñada, puede eludir las reglas especificadas mediante la directiva url_regex y obtener información confidencial sobre el proxy y el tráfico procesado (obtener acceso a la interfaz de Cache Manager).
- — Al manipular los datos del nombre de usuario en la URL, puede almacenar contenido ficticio para una página específica en el caché, que, por ejemplo, puede usarse para organizar la ejecución de su código JavaScript en el contexto de otros sitios.
Fuente: opennet.ru