プラットフォーム
linux
コンポーネント
tinyproxy
修正版
1.11.4
CVE-2026-31842 は、Tinyproxy における HTTP リクエスト解析の脆弱性です。この脆弱性は、Transfer-Encoding ヘッダーの取り扱いにおける case-sensitive 比較の誤りにより、HTTP リクエストの解析が正常に行われなくなる可能性があります。攻撃者はこの脆弱性を悪用することで、Tinyproxy がリクエストのボディを正しく処理できなくなり、潜在的に機密情報の漏洩やサービス妨害につながる可能性があります。この脆弱性は Tinyproxy のバージョン 0.0.0 から 1.11.3 までに影響を与え、バージョン 1.11.4 で修正されました。
この脆弱性は、認証されていないリモート攻撃者が Tinyproxy を誤解釈させ、リクエストにボディがないと判断させることを可能にします。これにより、Tinyproxy は contentlength.client を -1 に設定し、pullclientdatachunked() をスキップし、リクエストを転送します。攻撃者は、Transfer-Encoding: Chunked を使用したリクエストを送信することで、この状態を引き起こすことができます。この状態になると、Tinyproxy はリクエストのボディを正しく処理できず、潜在的に機密情報を漏洩させたり、サービスを妨害したりする可能性があります。この脆弱性は、Tinyproxy を経由するトラフィックを処理するすべてのシステムに影響を与える可能性があります。攻撃者は、この脆弱性を悪用して、機密情報にアクセスしたり、システムをダウンさせたり、さらには他のシステムへの攻撃の足がかりとして利用したりする可能性があります。
CVE-2026-31842 は、2026年4月7日に公開されました。現時点では、この脆弱性の悪用を示す公開されている Proof-of-Concept (PoC) は確認されていません。EPSS スコアはまだ評価されていません。NVD および CISA の情報もまだ利用できません。この脆弱性は、Tinyproxy を使用している組織にとって、潜在的なリスクとなります。
Systems utilizing Tinyproxy as a proxy server, particularly those handling sensitive traffic or acting as a gateway to internal resources, are at risk. Shared hosting environments where users have limited control over proxy configuration are also vulnerable.
• linux / server:
journalctl -u tinyproxy -g 'Transfer-Encoding: Chunked'• generic web:
curl -I 'http://your-tinyproxy-server/some-resource' | grep Transfer-Encodingdisclosure
エクスプロイト状況
EPSS
0.06% (19% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への主な軽減策は、Tinyproxy をバージョン 1.11.4 以降にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的な回避策として、WAF (Web Application Firewall) またはプロキシサーバーを使用して、Transfer-Encoding: Chunked を含むリクエストをブロックすることを検討してください。また、Tinyproxy の設定をレビューし、不要な機能を無効にすることで、攻撃対象領域を減らすことができます。Sigma ルールや YARA パターンなどの検出シグネチャは、この脆弱性の悪用を検出するために使用できます。アップグレード後、Tinyproxy のログを監視し、異常なアクティビティがないか確認してください。
Actualice Tinyproxy a la versión 1.11.4 o posterior para corregir la vulnerabilidad de desincronización del análisis de solicitudes HTTP. Esta actualización aborda la comparación sensible a mayúsculas y minúsculas del encabezado Transfer-Encoding, evitando que los atacantes provoquen una denegación de servicio o eludir los controles de seguridad.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-31842 は、Tinyproxy における HTTP リクエスト解析の脆弱性で、Transfer-Encoding ヘッダーの取り扱いにおける case-sensitive 比較の誤りにより発生します。
Tinyproxy のバージョン 0.0.0 から 1.11.3 を使用している場合は、この脆弱性の影響を受ける可能性があります。攻撃者はリクエストを誤解釈させ、機密情報を漏洩させたり、サービスを妨害したりする可能性があります。
Tinyproxy をバージョン 1.11.4 以降にアップグレードしてください。アップグレードができない場合は、WAF またはプロキシサーバーを使用して、Transfer-Encoding: Chunked を含むリクエストをブロックすることを検討してください。
現時点では、この脆弱性の悪用を示す公開されている Proof-of-Concept (PoC) は確認されていませんが、潜在的なリスクとして認識しておく必要があります。
NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) などのセキュリティ情報源で最新情報を確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。