一、基本情况
Tinyproxy是一个适用于POSIX 操作系统的轻量级的开源HTTP/HTTPS代理服务器。
二、漏洞描述
Tinyproxy中存在一个释放后使用漏洞(CVE-2023-49606),该漏洞的CVSS评分为9.8,目前该漏洞的细节及PoC已公开。
Tinyproxy 1.11.1和1.10.0 的 HTTP Connection头解析中存在释放后使用漏洞,未经身份验证的威胁者可发送包含特制HTTP 标头的HTTP请求触发对先前释放的内存的重用,导致内存损坏,并可能导致远程代码执行。
三、影响范围
Tinyproxy 1.11.1
Tinyproxy 1.10.0
四、修复建议
该漏洞的修复程序已经发布,受影响用户可升级到Tinyproxy 1.11.2。
