Tinyproxy: una vulnerabilità grave e la cattiva comunicazione aziendale
2024-5-7 05:46:33 Author: www.insicurezzadigitale.com(查看原文) 阅读量:13 收藏

Nel dicembre 2023, i ricercatori di Cisco Talos hanno segnalato una vulnerabilità critica, classificata come CVE-2023-49606, nel software Tinyproxy 1.10.0 e 1.11.1. Questa falla, classificata come Use-After-Free, potrebbe consentire l’esecuzione remota di codice se un header HTTP appositamente formattato viene inviato.

Questa vulnerabilità ha lasciato più del 50% dei server che utilizzano Tinyproxy, esposti ad un rischio elevato. Di questi, circa 52.000 server avevano accesso aperto a Tinyproxy al 3 maggio 2024.

Nonostante Cisco Talos abbia informato i sviluppatori di Tinyproxy il 22 dicembre 2023, la vulnerabilità non è stata risolta fino a maggio 2024, dopo che un altro sviluppatore ha segnalato il problema. Questo ritardo è stato attribuito a una cattiva comunicazione tra i ricercatori e gli sviluppatori.

Vedi anche

Si consiglia agli utenti di aggiornare Tinyproxy non appena possibile e di evitare di lasciare il servizio aperto ad accesso pubblico. Questo incidente evidenzia l’importanza di una comunicazione efficace tra i ricercatori di sicurezza e gli sviluppatori per prevenire tali situazioni in futuro.


文章来源: https://www.insicurezzadigitale.com/tinyproxy-una-vulnerabilita-grave-e-la-cattiva-comunicazione-aziendale/
如有侵权请联系:admin#unsafe.sh