Nel dicembre 2023, i ricercatori di Cisco Talos hanno segnalato una vulnerabilità critica, classificata come CVE-2023-49606, nel software Tinyproxy 1.10.0 e 1.11.1. Questa falla, classificata come Use-After-Free, potrebbe consentire l’esecuzione remota di codice se un header HTTP appositamente formattato viene inviato.
Questa vulnerabilità ha lasciato più del 50% dei server che utilizzano Tinyproxy, esposti ad un rischio elevato. Di questi, circa 52.000 server avevano accesso aperto a Tinyproxy al 3 maggio 2024.
Nonostante Cisco Talos abbia informato i sviluppatori di Tinyproxy il 22 dicembre 2023, la vulnerabilità non è stata risolta fino a maggio 2024, dopo che un altro sviluppatore ha segnalato il problema. Questo ritardo è stato attribuito a una cattiva comunicazione tra i ricercatori e gli sviluppatori.
Si consiglia agli utenti di aggiornare Tinyproxy non appena possibile e di evitare di lasciare il servizio aperto ad accesso pubblico. Questo incidente evidenzia l’importanza di una comunicazione efficace tra i ricercatori di sicurezza e gli sviluppatori per prevenire tali situazioni in futuro.