El 21 de junio de 2026 Debian publicó el aviso DSA-6360-1 para Squid, el conocido proxy de caché web. La actualización tapa cuatro vulnerabilidades distintas y sustituye la versión vulnerable 6.13-2+deb13u1 por 6.13-2+deb13u2 en la rama estable Trixie (Debian 13).
La más llamativa del grupo es CVE-2026-47729, bautizada como Squidbleed por sus descubridores (Calif.io). El nombre no es casual: igual que el viejo Heartbleed, el fallo deja escapar memoria que no debería verse. El origen es un error en el parser de listados de directorios FTP, dentro de la función htmlifyListEntry() de FtpGateway.cc. El código usa strchr() para saltar espacios tras una marca de tiempo, pero no comprueba el carácter nulo de fin de cadena. Según el estándar C, strchr() devuelve un puntero al propio NUL en lugar de NULL, así que el bucle sigue leyendo más allá del buffer. Como Squid recicla los buffers del pool MEM_4K_BUF sin ponerlos a cero, esa lectura puede arrastrar restos de sesiones anteriores: cabeceras HTTP de otros usuarios del proxy, incluidas cabeceras Authorization con contraseñas, tokens de sesión o claves de API.
Para explotarlo, el atacante necesita un servidor FTP malicioso al que el proxy pueda conectarse, y que la víctima comparta el mismo Squid. El soporte FTP viene activado por defecto y el puerto 21 está en la ACL Safe_ports estándar, así que la configuración por defecto es vulnerable. El alcance real es limitado: solo afecta a tráfico HTTP en claro, porque HTTPS viaja por túneles CONNECT opacos que Squid no inspecciona. Aun así, en despliegues corporativos o institucionales donde mucha gente comparte un mismo proxy, el riesgo de fuga de credenciales es serio. SUSE le asignó gravedad moderada (CVSS 6.5).
Los otros tres fallos corregidos en este aviso son:
- CVE-2026-33515 — lectura fuera de límites que puede filtrar pequeñas cantidades de memoria del proceso en respuestas de error a peticiones ICP malformadas. Solo afecta si el soporte ICP está habilitado explícitamente con un
icp_portdistinto de cero. - CVE-2026-33526 — use-after-free de heap en el manejo de respuestas ICP, que permite una denegación de servicio remota mediante tráfico ICP manipulado.
- CVE-2026-50012 — desbordamiento de buffer de heap en el componente de cache digests que puede tumbar Squid y, en teoría, permitir ejecución de código. Solo afecta a builds compilados con
--enable-cache-digests, una opción no habilitada por defecto.
Si administras un Squid sobre Debian, actualiza el paquete cuanto antes. Un apt update && apt upgrade te traerá la versión 6.13-2+deb13u2; después conviene reiniciar el servicio para que los nuevos workers carguen el código parcheado. Mientras tanto, si no necesitas FTP en el proxy puedes mitigar Squidbleed deshabilitando ese soporte o quitando el puerto 21 de Safe_ports, y desactivar ICP y los cache digests reduce la exposición de los otros tres fallos.
Fuente
- Debian Security Tracker — DSA-6360-1 squid: https://security-tracker.debian.org/tracker/DSA-6360-1
- CVE-2026-33515: https://nvd.nist.gov/vuln/detail/CVE-2026-33515
- CVE-2026-47729 (Squidbleed): https://nvd.nist.gov/vuln/detail/CVE-2026-47729