Especialistas em segurança da Calif.io descobriram uma vulnerabilidade de longa data no Squid, um servidor proxy cache de código aberto amplamente utilizado. A falha, identificada como CVE-2026-47729 e com pontuação CVSS de 6,5, existia no código desde 1997. Batizada de Squidbleed devido à sua semelhança com a infame vulnerabilidade Heartbleed, a falha permite a extração de requisições HTTP não criptografadas de outros usuários, incluindo cabeçalhos de autorização, tokens de sessão e chaves de API.
A causa raiz da vulnerabilidade reside no parser de listagem de diretórios FTP do Squid. Em 1997, os desenvolvedores introduziram código para lidar com listagens de servidores NetWare legados, que frequentemente adicionavam espaços extras às linhas. No entanto, o loop projetado para pular esses espaços não parava corretamente no byte nulo de terminação. Um atacante poderia configurar um servidor FTP sob seu controle de forma que uma linha de listagem terminasse abruptamente após um timestamp, sem incluir o nome do arquivo. Isso faria com que o ponteiro de leitura ultrapassasse os limites do buffer alocado. O Squid, ao processar essa resposta anômala do servidor FTP, interpretaria os dados encontrados além do buffer como um nome de arquivo válido, copiando-os e retornando-os ao cliente. Se o buffer contivesse previamente uma requisição HTTP de outro usuário, a resposta FTP truncada sobrescreveria apenas o início dessa requisição, permitindo que o atacante obtivesse o restante dos dados.
Os pesquisadores demonstraram que essa técnica pode ser usada para extrair o cabeçalho Authorization, concedendo ao atacante a capacidade de se passar por outro usuário se as credenciais forem expostas. Para explorar o Squidbleed, um atacante precisa de acesso ao proxy e deve forçá-lo a se conectar a um servidor FTP controlado pelo atacante na porta 21. Por essa razão, os desenvolvedores do Squid classificam a vulnerabilidade como uma ameaça originada de um cliente confiável, embora o suporte a FTP seja habilitado por padrão no Squid. O tráfego HTTPS comum não é afetado, pois o Squid não tem acesso ao conteúdo de túneis CONNECT. No entanto, a vulnerabilidade pode expor requisições HTTP não criptografadas e tráfego HTTPS em configurações onde o Squid realiza inspeção de tráfego (SSL/TLS inspection). Um exploit público (PoC) para o Squidbleed já está disponível no GitHub.
Houve alguma confusão sobre a correção da vulnerabilidade. Inicialmente, os desenvolvedores anunciaram que o CVE-2026-47729 havia sido corrigido na versão 7.6 do Squid, mas posteriormente declararam que o patch foi incluído na versão 7.7. Especialistas do Debian sugerem que o patch provavelmente está presente na versão 7.6. Portanto, os administradores são aconselhados a verificar a presença da correção em FtpGateway.cc ou confirmar o status do backport para sua distribuição específica. A recomendação mais segura para mitigar essa ameaça é desabilitar completamente o suporte a FTP no Squid, caso não seja estritamente necessário para a operação.
