Katalog CVE

CVE-2026-55202

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 - wyżej niż 26% wszystkich znanych CVE

Streszczenie

Tinyproxy do wersji 1.11.3 nieprawidłowo waliduje nagłówek Host podczas wykrywania stathost, co pozwala nieuwierzytelnionym atakującym na dostęp do strony statystyk poprzez wstrzyknięcie pasującego nagłówka Host lub ominięcie wykrywania przez manipulację portem. Zdalni atakujący mogą uzyskać nieautoryzowany dostęp do wewnętrznych statystyk proxy lub przekierować żądania jako połączenia przezroczystego proxy, omijając kontrolę dostępu.

Ocena ryzyka

Organizacja narażona jest na wyciek wrażliwych informacji o ruchu sieciowym oraz na możliwość ominięcia mechanizmów kontroli dostępu, co może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych.

Rekomendacja

Należy natychmiast zaktualizować Tinyproxy do wersji zawierającej commit 09312a1 lub nowszej, która naprawia tę podatność. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do strony statystyk za pomocą reguł zapory sieciowej.

Oryginalny opis (angielski, źródło NVD)

Tinyproxy through 1.11.3, fixed in commit 09312a1, fails to properly validate the Host header during stathost detection, allowing unauthenticated attackers to access the stats page by injecting a matching Host header or bypass detection via port manipulation. Remote attackers can trigger unauthorized access to internal proxy statistics or misroute requests as transparent proxy connections to circumvent access controls.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS