كشف باحثو الأمن السيبراني عن ثغرة خطيرة في خادم البروكسي الشهير Squid، أطلق عليها اسم Squidbleed (CVE-2026-47729)، يمكن أن تؤدي إلى تسريب طلبات HTTP بنصها الصريح، بما في ذلك بيانات الاعتماد أو رموز الجلسات، إلى أي مستخدم آخر يشارك نفس البروكسي. الثغرة تعود جذورها إلى تعديل في معالجة بروتوكول FTP عام 1997، وما زالت موجودة في الإعدادات الافتراضية حتى اليوم.
كيف يحدث التسريب؟
الثغرة تكمن في مُحلل قوائم FTP داخل Squid. عند استقبال قائمة من خادم FTP خبيث، يمكن أن ينتهي السطر مباشرة بعد الطابع الزمني دون اسم ملف، ما يؤدي إلى تجاوز المؤشر لنهاية السلسلة النصية. نتيجة لذلك، يتم نسخ بيانات من الذاكرة الحرة التي قد تحتوي على طلبات HTTP حديثة لمستخدم آخر.
هذا يعني أن المهاجم، وهو مستخدم موثوق بالفعل داخل الشبكة (مثل مدرسة أو مكتب أو شبكة واي فاي عامة)، يستطيع الحصول على بيانات حساسة مثل رؤوس Authorization الخاصة بالضحايا.
نطاق التأثير
- الثغرة تؤثر فقط على حركة HTTP غير المشفرة أو على إعدادات TLS التي يقوم فيها Squid بفك التشفير.
- لا يمكن استغلالها عبر حركة HTTPS العادية التي تمر عبر نفق CONNECT غير شفاف.
- المهاجم يحتاج إلى تشغيل خادم FTP خاص به على المنفذ 21، وهو مفعّل افتراضيًا في Squid.
حالة الإصلاح
تم دمج الإصلاح في فرع التطوير في أبريل 2026، وأضيف إلى الإصدار 7 في مايو. الإصلاح بسيط، يتمثل في إضافة تحقق من المُنهي النصي (null-terminator) قبل استدعاء الدالة ومع ذلك، هناك ارتباك في المجتمع حول الإصدار الذي يحتوي على التصحيح؛ حيث أُشير أولًا إلى الإصدار 7.6، ثم صُحح لاحقًا إلى 7.7، بينما ذكر مطورو Debian أن التصحيح يبدو موجودًا بالفعل في 7.6.
توصيات الباحثين
- التحقق من الإصلاح في ملف FtpGateway.cc أو عبر حزم التوزيعات.
- إيقاف دعم FTP نهائيًا، إذ إن معظم الشبكات لم تعد تستخدمه، ما يزيل سطح الهجوم مجانًا.
- مراقبة أي نشاط غير معتاد على البروكسيات المشتركة، خصوصًا في المؤسسات التعليمية والمكاتب.
تقييم المخاطر
منصة SUSE صنّفت الثغرة بدرجة متوسطة (CVSS 6.5)، حيث يتطلب الاستغلال صلاحيات منخفضة (الوصول إلى البروكسي)، ويقتصر التأثير على سرية البيانات دون المساس بسلامة أو توافر النظام. ومع ذلك، فإن إمكانية تسريب بيانات اعتماد المستخدمين تجعلها ثغرة خطيرة في البيئات المشتركة.































