CVE-2026-55202
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 — wyżej niż 25% wszystkich znanych CVE
Streszczenie
Tinyproxy w wersji do 1.11.3 nieprawidłowo waliduje nagłówek Host podczas wykrywania stathost, co pozwala nieautoryzowanym atakującym uzyskać dostęp do strony statystyk przez wstrzyknięcie odpowiedniego nagłówka Host lub obejście wykrywania poprzez manipulację portem.
Ocena ryzyka
Atakujący zdalni mogą uzyskać nieautoryzowany dostęp do wewnętrznych statystyk proxy lub błędnie kierować żądania jako połączenia transparentne, co może prowadzić do obejścia kontroli dostępu.
Rekomendacja
Zaleca się aktualizację Tinyproxy do wersji 1.11.4 lub nowszej, aby naprawić tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczeń dla dostępu do statystyk.
Oryginalny opis (angielski, źródło NVD)
Tinyproxy through 1.11.3, fixed in commit 09312a1, fails to properly validate the Host header during stathost detection, allowing unauthenticated attackers to access the stats page by injecting a matching Host header or bypass detection via port manipulation. Remote attackers can trigger unauthorized access to internal proxy statistics or misroute requests as transparent proxy connections to circumvent access controls.

