CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 2CVE-2022-40468
https://notcve.org/view.php?id=CVE-2022-40468
Potential leak of left-over heap data if custom error page templates containing special non-standard variables are used. Tinyproxy commit 84f203f and earlier use uninitialized buffers in process_request() function. Posible fuga de datos sobrantes de la pila si se utilizan plantillas de páginas de error personalizadas que contienen variables especiales no estándar. El commit 84f203f de Tinyproxy y los anteriores utilizan búferes no inicializados en la función process_request() • https://github.com/tinyproxy/tinyproxy https://github.com/tinyproxy/tinyproxy/blob/84f203fb1c4733608c7283bbe794005a469c4b00/src/reqs.c#L346 https://github.com/tinyproxy/tinyproxy/issues/457 https://github.com/tinyproxy/tinyproxy/issues/457#issuecomment-1264176815 https://security.gentoo.org/glsa/202305-27 • CWE-1188: Initialization of a Resource with an Insecure Default •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-11747
https://notcve.org/view.php?id=CVE-2017-11747
main.c in Tinyproxy 1.8.4 and earlier creates a /run/tinyproxy/tinyproxy.pid file after dropping privileges to a non-root account, which might allow local users to kill arbitrary processes by leveraging access to this non-root account for tinyproxy.pid modification before a root script executes a "kill `cat /run/tinyproxy/tinyproxy.pid`" command. El archivo main.c en Tinyproxy versión 1.8.4 y anteriores, crea un archivo /run/tinyproxy/tinyproxy.pid después de quitar los privilegios a una cuenta no root, lo que podría permitir a los usuarios locales eliminar procesos arbitrarios mediante el aprovechamiento del acceso a esta cuenta no root para la modificación de Tinyproxy.pid antes de que un script root ejecute el comando "kill` cat/run/tinyproxy/tinyproxy.pid`". • https://github.com/tinyproxy/tinyproxy/issues/106 https://lists.debian.org/debian-lts-announce/2020/03/msg00037.html • CWE-269: Improper Privilege Management •
CVSS: 5.0EPSS: 2%CPEs: 52EXPL: 0CVE-2012-3505
https://notcve.org/view.php?id=CVE-2012-3505
Tinyproxy 1.8.3 and earlier allows remote attackers to cause a denial of service (CPU and memory consumption) via (1) a large number of headers or (2) a large number of forged headers that trigger hash collisions predictably. bucket. Tinyproxy antes de v1.8.3-3 permite a atacantes remotos provocar una denegación de servicio (excesivo consumo de CPU y memoria) a través de (1) un gran número de cabeceras o (2) un gran número de cabeceras falsificados con el mismo hash. • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=685281 http://secunia.com/advisories/50278 http://secunia.com/advisories/51074 http://www.debian.org/security/2012/dsa-2564 http://www.openwall.com/lists/oss-security/2012/08/17/3 http://www.openwall.com/lists/oss-security/2012/08/18/1 http://www.securitytracker.com/id?1027412 https://banu.com/bugzilla/show_bug.cgi?id=110 https://banu.com/bugzilla/show_bug.cgi?id=110#c2 https://bugs.launchpad.net/ubuntu&# • CWE-310: Cryptographic Issues •
CVSS: 6.8EPSS: 0%CPEs: 51EXPL: 1CVE-2011-1843
https://notcve.org/view.php?id=CVE-2011-1843
Integer overflow in conf.c in Tinyproxy before 1.8.3 might allow remote attackers to bypass intended access restrictions in opportunistic circumstances via a TCP connection, related to improper handling of invalid port numbers. Desbordamiento de enteros en conf.c en tinyproxy antes de v1.8.3 podría permitir a atacantes remotos evitar las restricciones de acceso previsto a través de una conexión TCP, relativa al manejo inadecuado de los números de puerto invalidos. • http://www.securityfocus.com/bid/47715 https://banu.com/bugzilla/show_bug.cgi?id=90 https://banu.com/cgit/tinyproxy/diff/?id=97b9984484299b2ce72f8f4fc3706dab8a3a8439 • CWE-189: Numeric Errors •
CVSS: 2.6EPSS: 0%CPEs: 52EXPL: 0CVE-2011-1499
https://notcve.org/view.php?id=CVE-2011-1499
acl.c in Tinyproxy before 1.8.3, when an Allow configuration setting specifies a CIDR block, permits TCP connections from all IP addresses, which makes it easier for remote attackers to hide the origin of web traffic by leveraging the open HTTP proxy server. acl.c en tinyproxy antes de v1.8.3, cuando la opcion "Allow Configuration" especifica un bloque CIDR, permite conexiones TCP desde todas las direcciones IP, lo que facilita a los atacantes remotos a la hora de ocultar el origen del tráfico de Internet, aprovechando la servidor proxy HTTP abierto. • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=621493 http://openwall.com/lists/oss-security/2011/04/07/9 http://openwall.com/lists/oss-security/2011/04/08/3 http://secunia.com/advisories/44274 http://www.debian.org/security/2011/dsa-2222 https://banu.com/bugzilla/show_bug.cgi?id=90 https://banu.com/cgit/tinyproxy/diff/?id=e8426f6662dc467bd1d827100481b95d9a4a23e4 https://bugzilla.redhat.com/show_bug.cgi?id=694658 https://exchange.xforce.ibmcloud.com/vulnerabilities/67256 • CWE-16: Configuration •