Squid یک پراکسی کش برای وب است. در نسخه‌های قبل از ۷.۲، هنگام پردازش پیام‌های خطا اطلاعات احراز هویت HTTP به‌درستی پاک‌سازی  (redact) نمی‌شدند، که منجر به یک آسیب‌پذیری افشای اطلاعات شد. این آسیب‌پذیری به یک اسکریپت مخرب اجازه می‌دهد تا از مکانیزم‌های امنیتی مرورگر عبور کرده و اطلاعات مربوط به اعتبارنامه‌هایی که یک کاربر مورد اعتماد برای احراز هویت استفاده می‌کند را به دست آورد.

به این ترتیب، یک کاربر از راه دور می‌تواند توکن‌های امنیتی یا اعتبارنامه‌هایی را که به‌صورت داخلی توسط یک برنامه وب (که از Squid برای توزیع بار در بک‌اند استفاده می‌کند) استفاده می‌شوند، شناسایی کند. این حملات نیازی به پیکربندی Squid  با احراز هویت  HTTP ندارند.

محصولات آسیب‌پذیر

نسخه­ های قبل از ۷.۲

توصیه‌های امنیتی

به کاربران توصیه می­شود درصورت استفاده از این ابزار، آن را به نسخه­ ۷.۲ به­ روزرسانی نمایند. به‌عنوان یک راه‌حل موقت، می‌توان نمایش اطلاعات اشکال‌زدایی در لینک‌های ایمیل مدیر که توسط Squid  ایجاد می‌شوند را غیرفعال کرد. برای این کار باید در فایل پیکربندی squid.conf  گزینه‌ی زیر تنظیم شود:

email_err_data off

منبع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-62168