Plataforma
linux
Componente
tinyproxy
Corrigido em
1.11.4
A vulnerabilidade CVE-2026-31842 afeta o Tinyproxy, um proxy HTTP leve, devido a uma falha no parsing de requisições HTTP. Essa falha permite que um atacante não autenticado cause a desincronização do parsing, potencialmente levando a um bypass de autenticação ou outros problemas de segurança. As versões afetadas são do 0.0.0 até a 1.11.3. Uma correção foi lançada na versão 1.11.4.
The vulnerability lies in Tinyproxy's handling of the Transfer-Encoding header. Due to a case-sensitive comparison against "chunked", the proxy can be tricked into believing a request has no body when a crafted request with Transfer-Encoding: Chunked is sent. This misinterpretation can lead to denial of service or potentially allow an attacker to bypass certain security checks by manipulating how Tinyproxy processes incoming requests. While the description doesn't explicitly detail data exfiltration, the ability to manipulate request processing could open avenues for further exploitation depending on the proxy's configuration and the backend servers it connects to.
CVE-2026-31842 was publicly disclosed on April 7, 2026. As of this writing, there are no publicly available proof-of-concept exploits. The vulnerability is not currently listed on CISA KEV. The EPSS score is pending evaluation, but the potential for request manipulation suggests a medium probability of exploitation if a suitable exploit is developed.
Systems utilizing Tinyproxy as a proxy server, particularly those handling sensitive traffic or acting as a gateway to internal resources, are at risk. Shared hosting environments where users have limited control over proxy configuration are also vulnerable.
• linux / server:
journalctl -u tinyproxy -g 'Transfer-Encoding: Chunked'• generic web:
curl -I 'http://your-tinyproxy-server/some-resource' | grep Transfer-Encodingdisclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
The primary mitigation is to upgrade Tinyproxy to version 1.11.4 or later, which contains the fix for this parsing issue. If upgrading immediately is not feasible, consider implementing temporary workarounds. While a direct WAF rule is difficult to implement without deep packet inspection, you could potentially restrict the Transfer-Encoding header to known, safe values. Monitoring Tinyproxy logs for unusual request patterns, particularly those involving the Transfer-Encoding header, can also help detect potential exploitation attempts. After upgrading, confirm the fix by sending a test request with Transfer-Encoding: Chunked and verifying that Tinyproxy handles it correctly without errors.
Actualice Tinyproxy a la versión 1.11.4 o posterior para corregir la vulnerabilidad de desincronización del análisis de solicitudes HTTP. Esta actualización aborda la comparación sensible a mayúsculas y minúsculas del encabezado Transfer-Encoding, evitando que los atacantes provoquen una denegación de servicio o eludir los controles de seguridad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de desincronização no parsing de requisições HTTP no Tinyproxy. A comparação case-sensitive do cabeçalho Transfer-Encoding permite que um atacante manipule o processamento da requisição, potencialmente ignorando a autenticação.
Se você estiver utilizando uma versão do Tinyproxy entre 0.0.0 e 1.11.3, você está potencialmente afetado. É crucial verificar sua versão e aplicar a correção.
A correção para essa vulnerabilidade está disponível na versão 1.11.4 do Tinyproxy. Atualize para essa versão ou superior para mitigar o risco.
Vetor CVSS
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.