
Uma vulnerabilidade presente há 29 anos no Squid, um dos servidores proxy de cache mais utilizados no mundo, poderia permitir o vazamento de informações sensíveis processadas pelo sistema. Batizada de Squidbleed e registrada como CVE-2026-47729, a falha permaneceu sem ser detectada desde 1997 e possibilitava a leitura indevida da memória do servidor, expondo credenciais, tokens de sessão e outras informações trafegadas em conexões HTTP. A correção foi disponibilizada na versão Squid 7.6, lançada em 8 de junho.
O problema foi identificado por pesquisadores da Calif.io, com apoio da ferramenta Mythos Preview, da Anthropic. Após a descoberta, a vulnerabilidade foi reportada aos mantenedores do projeto, que desenvolveram e distribuíram a atualização de segurança. Posteriormente, também foi confirmado que o pesquisador Pavel Kohout, da Aisle, havia reportado a mesma falha anteriormente.
Bug estava escondido no módulo FTP
A vulnerabilidade estava localizada no parser utilizado pelo Squid para interpretar listagens de diretórios em servidores FTP. O erro foi introduzido em um código adicionado em 1997 para oferecer compatibilidade com servidores NetWare, que utilizavam um formato diferente na exibição de arquivos.
Em determinadas condições, um servidor FTP controlado por um atacante podia enviar uma resposta especialmente elaborada, levando o Squid a realizar uma leitura além dos limites do buffer de memória. Como consequência, o proxy retornava ao invasor dados que permaneciam armazenados na memória do processo.
Credenciais e tokens poderiam ser expostos
Os pesquisadores explicam que a vulnerabilidade não permitia alterar dados nem executar código remotamente, mas possibilitava a extração de informações sensíveis presentes na memória do servidor.
Entre os dados potencialmente expostos estavam:
- credenciais de autenticação;
- tokens de sessão;
- chaves de API;
- cabeçalhos HTTP;
- informações de outras requisições processadas pelo proxy.
Como o Squid é amplamente utilizado por empresas, instituições de ensino, provedores de internet e redes Wi-Fi públicas, o impacto potencial da falha era considerado significativo.
Exploração dependia de condições específicas
Segundo os pesquisadores, a exploração exigia duas condições principais: que o Squid estivesse configurado para inspecionar tráfego HTTP em texto claro ou finalizar conexões TLS e que tivesse acesso a um servidor FTP controlado pelo atacante por meio da porta TCP 21. Nessas circunstâncias, era possível induzir o proxy a revelar conteúdos armazenados na memória.
Atualização é recomendada
A vulnerabilidade foi corrigida na versão Squid 7.6, e administradores são orientados a atualizar imediatamente suas instalações. Organizações que ainda utilizam versões antigas também devem revisar a necessidade de manter suporte ao protocolo FTP, considerado obsoleto em muitos ambientes, além de restringir o acesso do proxy a servidores externos não confiáveis.
A descoberta do Squidbleed evidencia como falhas discretas podem permanecer ocultas por décadas em softwares amplamente utilizados, reforçando a importância de auditorias contínuas e da atualização regular de componentes críticos de infraestrutura.



