Katalog CVE

CVE-2026-55202

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 25 — wyżej niż 25% wszystkich znanych CVE

Streszczenie

Tinyproxy w wersji do 1.11.3 nieprawidłowo waliduje nagłówek Host podczas wykrywania stathost, co pozwala nieautoryzowanym atakującym uzyskać dostęp do strony statystyk przez wstrzyknięcie odpowiedniego nagłówka Host lub obejście wykrywania poprzez manipulację portem.

Ocena ryzyka

Atakujący zdalni mogą uzyskać nieautoryzowany dostęp do wewnętrznych statystyk proxy lub błędnie kierować żądania jako połączenia transparentne, co może prowadzić do obejścia kontroli dostępu.

Rekomendacja

Zaleca się aktualizację Tinyproxy do wersji 1.11.4 lub nowszej, aby naprawić tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczeń dla dostępu do statystyk.

Oryginalny opis (angielski, źródło NVD)

Tinyproxy through 1.11.3, fixed in commit 09312a1, fails to properly validate the Host header during stathost detection, allowing unauthenticated attackers to access the stats page by injecting a matching Host header or bypass detection via port manipulation. Remote attackers can trigger unauthorized access to internal proxy statistics or misroute requests as transparent proxy connections to circumvent access controls.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS