CSIRT Toscana PoC pubblico per lo sfruttamento della CVE-2023-49606 relativa a Tinyproxy (AL02/240507/CSIRT-ITA)
Data:
7 Maggio 2024 16:39
Sintesi
Disponibile un Proof of Concept (PoC) per la CVE-2023-49606 – già sanata dalla comunità di sviluppatori – presente nel daemon proxy HTTP open-source Tinyproxy.
Tale vulnerabilità – di tipo “Use After Free” e con score CVSS v3.x pari a 9.8 – potrebbe essere sfruttata da un utente malevolo attraverso l’invio di richieste HTTP non autenticate con header opportunamente predisposti al fine di eseguire codice arbitrario da remoto sui sistemi target.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (65,76/100)1.
Tipologia
- Remote Code Execution
Prodotti e versioni affette
Tinyproxy, versioni 1.11.1 e 1.10.0
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.
Identificatori univoci vulnerabilità
Riferimenti
https://github.com/tinyproxy/tinyproxy/commit/12a8484265f7b00591293da492bb3c9987001956
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.