Vulnérabilité dans le proxy Squid
Date de publication :
CVE-2020-25097 [Score CVSS v3 : 7.5] : Une vulnérabilité dans Squid a été corrigée. Elle est due à une validation incorrecte des entrées. Pour certains paramètres de configuration uri_whitespace, un attaquant distant et non-authentifié peut être en mesure d’envoyer des requêtes HTTP spécifiques afin d'accéder à des services normalement interdits par les contrôles de sécurité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Expositions d’informations sensibles
Violations des politiques de sécurité
Criticité
-
Score CVSS v3 : 7.5
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
-
Les versions suivantes de Squid sont impactées par cette vulnérabilité :
de 2.0 à 4.13
De 5.0.1 à 5.0.4
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Squid vers une des versions suivantes :
4.14
5.0.5
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.