← volver
CVE-2023-49606

CVE-2023-49606

CVSS 9.8 CRITICALEPSS 63.1%CWE-416
Vexday Risk Score
60Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
CVSS 9.8EPSS 63.1%KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
01 may 2024Publicada en NVD
07 may 2024PoC pública
Recomendación: Planificar corrección próxima — ya existe PoC pública.
A use-after-free vulnerability exists in the HTTP Connection Headers parsing in Tinyproxy 1.11.1 and Tinyproxy 1.10.0. A specially crafted HTTP header can trigger reuse of previously freed memory, which leads to memory corruption and could lead to remote code execution. An attacker needs to make an unauthenticated HTTP request to trigger this vulnerability.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Tinyproxy · Tinyproxy
PoCs públicas encontradas1
githubgithub.com/d0rb/CVE-2023-496064
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://lists.debian.org/debian-lts-announce/2024/09/msg00035.htmlhttps://talosintelligence.com/vulnerability_reports/TALOS-2023-1889https://www.talosintelligence.com/vulnerability_reports/TALOS-2023-1889http://www.openwall.com/lists/oss-security/2024/05/07/1