Plateforme
linux
Composant
tinyproxy
Corrigé dans
1.11.4
La vulnérabilité CVE-2026-31842 affecte Tinyproxy, un proxy HTTP, en raison d'une comparaison sensible à la casse incorrecte de l'en-tête Transfer-Encoding. Cette faille permet à un attaquant non authentifié de provoquer une désynchronisation dans l'analyse des requêtes HTTP, ce qui peut entraîner des erreurs de traitement et potentiellement permettre l'exécution de code arbitraire. Les versions concernées sont celles comprises entre 0.0.0 et 1.11.3 incluses. Une correction est disponible dans la version 1.11.4.
The vulnerability lies in Tinyproxy's handling of the Transfer-Encoding header. Due to a case-sensitive comparison against "chunked", the proxy can be tricked into believing a request has no body when a crafted request with Transfer-Encoding: Chunked is sent. This misinterpretation can lead to denial of service or potentially allow an attacker to bypass certain security checks by manipulating how Tinyproxy processes incoming requests. While the description doesn't explicitly detail data exfiltration, the ability to manipulate request processing could open avenues for further exploitation depending on the proxy's configuration and the backend servers it connects to.
CVE-2026-31842 was publicly disclosed on April 7, 2026. As of this writing, there are no publicly available proof-of-concept exploits. The vulnerability is not currently listed on CISA KEV. The EPSS score is pending evaluation, but the potential for request manipulation suggests a medium probability of exploitation if a suitable exploit is developed.
Systems utilizing Tinyproxy as a proxy server, particularly those handling sensitive traffic or acting as a gateway to internal resources, are at risk. Shared hosting environments where users have limited control over proxy configuration are also vulnerable.
• linux / server:
journalctl -u tinyproxy -g 'Transfer-Encoding: Chunked'• generic web:
curl -I 'http://your-tinyproxy-server/some-resource' | grep Transfer-Encodingdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
The primary mitigation is to upgrade Tinyproxy to version 1.11.4 or later, which contains the fix for this parsing issue. If upgrading immediately is not feasible, consider implementing temporary workarounds. While a direct WAF rule is difficult to implement without deep packet inspection, you could potentially restrict the Transfer-Encoding header to known, safe values. Monitoring Tinyproxy logs for unusual request patterns, particularly those involving the Transfer-Encoding header, can also help detect potential exploitation attempts. After upgrading, confirm the fix by sending a test request with Transfer-Encoding: Chunked and verifying that Tinyproxy handles it correctly without errors.
Actualice Tinyproxy a la versión 1.11.4 o posterior para corregir la vulnerabilidad de desincronización del análisis de solicitudes HTTP. Esta actualización aborda la comparación sensible a mayúsculas y minúsculas del encabezado Transfer-Encoding, evitando que los atacantes provoquen una denegación de servicio o eludir los controles de seguridad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Il s'agit d'une vulnérabilité de désynchronisation de l'analyse des requêtes HTTP dans Tinyproxy, causée par une comparaison sensible à la casse incorrecte de l'en-tête Transfer-Encoding. Cela peut permettre à un attaquant de manipuler le traitement des requêtes.
Vous êtes affecté si vous utilisez Tinyproxy dans une version comprise entre 0.0.0 et 1.11.3 incluses. Vérifiez votre version actuelle et mettez à jour si nécessaire.
Mettez à jour Tinyproxy vers la version 1.11.4 ou ultérieure, qui corrige cette vulnérabilité. Assurez-vous de suivre les instructions de mise à jour spécifiques à votre système.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.