ช่องโหว่ในพร็อกซีเซิร์ฟเวอร์ Squid ที่ช่วยให้คุณข้ามข้อจำกัดการเข้าถึงได้

เปิดเผย ข้อมูลเกี่ยวกับช่องโหว่ในพร็อกซีเซิร์ฟเวอร์ ปลาหมึกซึ่งได้รับการแก้ไขอย่างเงียบๆ เมื่อปีที่แล้วใน Squid 4.8 ปัญหาดังกล่าวมีอยู่ในโค้ดที่จัดการบล็อก "@" ที่จุดเริ่มต้นของ URL ("user@host") และอนุญาตให้ข้ามกฎการควบคุมการเข้าถึง ทำลายเนื้อหาแคช และโจมตีแบบ cross-site Scripting ได้

  • CVE-2019-12524 — ไคลเอนต์สามารถใช้ URL ที่สร้างขึ้นเป็นพิเศษเพื่อข้ามกฎเกณฑ์ที่ระบุโดยใช้คำสั่ง url_regex และรับข้อมูลที่ละเอียดอ่อนเกี่ยวกับพร็อกซีและการรับส่งข้อมูลที่กำลังประมวลผล (ได้รับสิทธิ์เข้าถึงอินเทอร์เฟซ Cache Manager)
  • CVE-2019-12520 — โดยการจัดการข้อมูลชื่อผู้ใช้ใน URL ทำให้สามารถจัดเก็บเนื้อหาสมมติสำหรับเพจเฉพาะในแคชได้ ซึ่งตัวอย่างเช่น สามารถใช้เพื่อจัดระเบียบการทำงานของโค้ด JavaScript ของคุณในบริบทของไซต์อื่นๆ ได้

ที่มา: opennet.ru

ซื้อโฮสติ้งที่เชื่อถือได้สำหรับไซต์ที่มีการป้องกัน DDoS เซิร์ฟเวอร์ VPS VDS 🔥 ซื้อบริการเว็บโฮสติ้งที่เชื่อถือได้ พร้อมระบบป้องกัน DDoS และเซิร์ฟเวอร์ VPS/VDS | ProHoster