存在数十年的 Squid Proxy 漏洞 'Squidbleed' 可暴露用户数据

Calif.io 的安全研究人员披露了 Squid Proxy 中存在的一个内存泄露漏洞，该漏洞自 1997 年以来一直存在于软件中。

Squid 是一款广泛使用的开源 Web 代理，可通过缓存减少带宽并提高响应时间。Squid 支持 HTTP、HTTPS、FTP 等协议。

Calif.io 研究人员发现 Squid 受一个类似于臭名昭著的 OpenSSL 漏洞 Heartbleed 的漏洞影响，因此将其命名为 Squidbleed。

该漏洞正式编号为 CVE-2026-47729，会导致 Squid 的 FTP 解析器读取超出内存缓冲区边界，进入可能包含前一个用户未清除的 HTTP 请求数据的区域。

利用该漏洞需要攻击者控制一个代理可访问的 FTP 服务器。Squidbleed 在共享代理环境（如企业网络、学校和公共 Wi-Fi 热点）中构成最大风险，这些环境中多个用户可能通过同一个 Squid 实例路由流量。

能够访问此类网络的攻击者可以静默窃取属于其他用户的 HTTP 请求数据，可能捕获身份验证凭证、会话令牌和 API 密钥。

暴露仅限于明文 HTTP 流量和 Squid 终止 TLS 的部署。通过不透明 Connect 隧道中继的标准 HTTPS 连接不受影响。虽然这减少了整体攻击面，但在许多企业和遗留环境中，敏感凭证仍可能通过明文 HTTP 传输。

该漏洞是在 Anthropic 的 Claude Mythos AI 模型的协助下发现的。

补丁已于 2026 年 4 月合并到 Squid 版本 8 中，并于 2026 年 6 月在版本 7.6 中发布。如果不需要，可以通过完全禁用 FTP 支持来缓解风险。

Calif.io 研究人员最近还利用 AI 发现了 OpenSSL 中的一个高严重性漏洞和一种名为 HTTP/2 Bomb 的 DoS 攻击技术，该技术允许攻击者快速使 Web 服务器离线。