プラットフォーム
linux
コンポーネント
squid
修正版
7.2.1
Squid は Web 用のキャッシュプロキシです。Squid のバージョン 7.2 以前には、エラー処理中に HTTP 認証情報を適切に非表示にしないという脆弱性が存在します。この脆弱性を悪用されると、攻撃者はブラウザのセキュリティ保護を回避し、クライアントが認証に使用する認証情報を学習することが可能になります。バージョン 7.2 でこの問題は修正されています。
この情報漏洩の脆弱性は、攻撃者が Squid を経由する Web アプリケーションの認証情報を盗むことを可能にします。攻撃者は、スクリプトを使用して、内部 Web アプリケーションがバックエンドロードバランシングに Squid を使用している場合に、セキュリティトークンまたは認証情報を特定できる可能性があります。この攻撃は、Squid が HTTP 認証で構成されていない場合でも実行可能です。認証情報が漏洩すると、攻撃者は機密データへの不正アクセス、なりすまし、さらにはシステム全体の制御権の奪取につながる可能性があります。この脆弱性は、特に機密情報を扱う Web アプリケーションや、厳格なセキュリティ要件を満たす必要がある環境において、重大なリスクをもたらします。
この脆弱性は 2025年10月17日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CVSS スコアが 10 (CRITICAL) であることから、攻撃者による悪用の可能性は高いと考えられます。この脆弱性は、KEV (Known Exploited Vulnerabilities) に追加される可能性があります。公開されている POC (Proof of Concept) は存在しませんが、脆弱性の性質上、攻撃者が容易に悪用コードを作成できる可能性があります。
エクスプロイト状況
EPSS
0.17% (38% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、Squid をバージョン 7.2 以降にアップグレードすることが推奨されます。アップグレードが困難な場合は、一時的な回避策として、Squid のエラーログの機密情報の記録を無効にすることを検討してください。また、Web アプリケーションファイアウォール (WAF) を使用して、認証情報の漏洩を検出し、ブロックすることも有効です。WAF のルールは、HTTP レスポンスに認証情報が含まれていないことを確認するように設定する必要があります。Sigma/YARA パターンは、この脆弱性の悪用を検出するために使用できます。アップグレード後、エラーログを調査し、認証情報が非表示になっていることを確認してください。
Actualice Squid a la versión 7.2 o posterior. Como alternativa, deshabilite la información de depuración en los enlaces mailto del administrador generados por Squid configurando squid.conf con email_err_data off.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-62168 は、Squid のバージョン 7.2 以前における HTTP 認証情報の情報漏洩の脆弱性です。
Squid のバージョン 7.2 以前を使用している場合、この脆弱性に影響を受ける可能性があります。
Squid をバージョン 7.2 以降にアップグレードしてください。
現時点では、悪用事例は報告されていませんが、CVSS スコアが 10 (CRITICAL) であるため、悪用の可能性は高いと考えられます。
NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで詳細情報を確認できます。