29年老漏洞「Squidbleed」曝光:Squid代理伺服器可洩露明文HTTP請求
Squid網頁代理伺服器存在一個長達29年的安全漏洞,編號CVE-2026-47729,被稱為「Squidbleed」。此漏洞允許已授權的代理使用者擷取其他使用者的明文HTTP請求片段,包括帳號密碼與工作階段令牌。發現此漏洞的安全研究員表示,這項發現得益於Anthropic的Claude Mythos Preview AI模型協助。

文章重點
- CVE-2026-47729(Squidbleed)是存在於Squid網頁代理伺服器長達29年的安全漏洞。
- 漏洞允許已授權的代理使用者擷取其他使用者的明文HTTP請求,包含帳密與Session Token。
- Squid官方定性此為「受信任客戶端攻擊」,攻擊者必須是已獲准使用代理的內部人員。
- 安全研究員借助Anthropic的Claude Mythos Preview AI模型發現此漏洞。
- Squid廣泛部署於全球企業、學術機構與ISP,管理員應盡速套用官方修補程式。
一個潛伏長達29年的安全漏洞近日在廣泛使用的Squid網頁代理伺服器軟體中被揭露,漏洞編號為 CVE-2026-47729,研究人員將其命名為「Squidbleed」,讓人聯想到當年震驚業界的Heartbleed漏洞。
漏洞概述
根據資安媒體 The Hacker News 的報導,此漏洞允許一名已獲授權使用代理伺服器的用戶,擷取到其他使用者明文HTTP請求的片段內容,可能洩露的資訊包括:
- 使用者帳號與密碼(credentials)
- 工作階段令牌(session tokens)
- 其他敏感的HTTP請求內容
Squid官方將此問題描述為「受信任客戶端的攻擊行為」——攻擊者並非來自網際網路上的任意主機,而是已被允許使用該代理伺服器的內部使用者。這意味著此漏洞對企業內部網路環境構成潛在威脅,尤其是多人共用代理伺服器的情境下。
AI協助發現漏洞
值得關注的是,回報此漏洞的安全研究員特別指出,Anthropic的Claude Mythos Preview大型語言模型在漏洞發現過程中扮演了重要角色。這也再次顯示AI工具在現代資安研究中的應用價值日益提升。
影響範圍
Squid是一套廣泛部署於企業、學術機構及ISP(網際網路服務提供商)環境的開源網頁代理與快取軟體,全球使用量龐大。此漏洞存在時間之久(約自1996年起)令資安社群感到震驚。
目前建議Squid管理員密切關注官方安全公告,並儘速套用修補程式以降低資安風險。
本文部分資訊來源:Slashdot、The Hacker News
原文來源: 查看原文
常見問題
Newsletter
訂閱低空產業電子報
每日精選低空經濟與無人機產業新聞,直送您的信箱。
本文由 LAETimes 編輯部審核發佈 ·


