一、 漏洞 CVE-2025-62168 基础信息
漏洞信息
                                        # Squid 认证凭证泄露漏洞

## 概述

Squid 是一个用于 Web 的缓存代理。在版本 7.2 之前的 Squid 中,错误处理过程中未正确脱敏 HTTP 认证凭据,导致信息泄露漏洞。

## 影响版本

- 所有版本低于 7.2 的 Squid。

## 细节

该漏洞允许攻击者通过脚本绕过浏览器安全机制,获取客户端用于认证的凭据信息。即使 Squid 未配置 HTTP 认证,远程攻击者仍可利用此漏洞识别 Web 应用程序内部使用的安全令牌或凭据,尤其是在 Squid 用作后端负载均衡时。漏洞的根源在于错误处理时未对敏感信息进行脱敏处理。

## 影响

- 可能导致认证凭据或安全令牌泄露。
- 攻击者可借此获取内部系统中的敏感信息。
- 不依赖于 Squid 是否启用 HTTP 认证功能。

## 修复与缓解

- **升级版本**:升级到 Squid 7.2 或更高版本。
- **临时缓解**:在 `squid.conf` 中配置 `email_err_data off`,禁用管理员邮件链接中的调试信息。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Squid vulnerable to information disclosure via authentication credential leakage in error handling
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Squid is a caching proxy for the Web. In Squid versions prior to 7.2, a failure to redact HTTP authentication credentials in error handling allows information disclosure. The vulnerability allows a script to bypass browser security protections and learn the credentials a trusted client uses to authenticate. This potentially allows a remote client to identify security tokens or credentials used internally by a web application using Squid for backend load balancing. These attacks do not require Squid to be configured with HTTP authentication. The vulnerability is fixed in version 7.2. As a workaround, disable debug information in administrator mailto links generated by Squid by configuring squid.conf with email_err_data off.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过错误消息导致的信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Squid 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Squid是Squid开源的一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。 Squid 7.2之前版本存在安全漏洞,该漏洞源于错误处理中未编辑HTTP身份验证凭据,可能导致信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62168 的公开POC
# POC 描述 源链接 神龙链接
1 PoC of CVE-2025-62168 https://github.com/monzaviman/CVE-2025-62168 POC详情
三、漏洞 CVE-2025-62168 的情报信息
四、漏洞 CVE-2025-62168 的评论

暂无评论

发表评论