یوه نوې کشف شوې امنیتي نیمګړتیا چې د شاوخوا 30 کلونو لپاره د سکویډ ویب پراکسي کې پټ پاتې کیدی شي یو کارونکي ته اجازه ورکړي چې په پټه توګه د بل کارونکي انټرنیټ غوښتنو برخې وګوري ، په احتمالي توګه د پټنومونو افشا کول ، د ننوتلو سیشنونه ، API کیلي ، او نور حساس معلومات.
زیانمنتیا، چې د Squidbleed (CVE-2026-47729) په نوم یادیږي، د انتروپیک کلاډ مایتوس پریویو په مرسته کشف شوه، کوم چې امنیتي څیړونکي د اوږدمهاله بګ په پیژندلو کې مرسته کړې.
Squid یو مشهور ویب پراکسي ده چې د سوداګرۍ، ښوونځیو، او نورو سازمانونو لخوا د انټرنیټ ترافیک اداره کولو لپاره کارول کیږي.
نیمګړتیا د Squid جوړ شوي FTP ځانګړتیا اغیزه کوي. د ځانګړي جوړ شوي FTP سرور په ترتیب کولو سره ، یو برید کونکی چې دمخه د ورته پراکسي کارولو اجازه لري کولی شي سکویډ د بل کارونکي د پخوانیو ویب غوښتنو څخه د ډیټا پاتې برخې افشا کولو کې چال وکړي.
دا پیښیږي ځکه چې سکویډ د بیا کارولو دمخه د ځینې حافظې په بشپړ ډول پاکولو کې پاتې راغلی ، د بل کارونکي معلوماتو کوچنۍ ټوټې په ناڅاپي ډول لیک کیدو ته اجازه ورکوي.
زیانمنتیا د یو چا لخوا په تصادفي ډول په انټرنیټ کې نشي کارول کیدی.
پرځای یې ، برید کونکی باید دمخه ورته سکویډ پراکسي ته لاسرسی ولري او د FTP سرور چلوي چې پراکسي ورسره وصل کیدی شي. څرنګه چې د FTP ملاتړ په ډیفالټ فعال شوی، دا مسله په شریک چاپیریال کې خورا اړونده ده لکه دفترونه، ښوونځي، پوهنتونونه، او عامه Wi-Fi شبکې چیرې چې ډیری خلک ورته پراکسي خدمت کاروي.
نیمګړتیا یوازې د انټرنیټ ترافیک اغیزه کوي چې سکویډ د لوستلو وړ دی.
منظم HTTPS ویب پاڼې معمولا خوندي دي ځکه چې د دوی ټرافيک کوډ شوی پاتې کیږي ځکه چې دا د پراکسي له لارې تیریږي. په هرصورت، زیانمنتیا کولی شي په چاپیریال کې غیر کوډ شوي HTTP ټرافيک یا HTTPS ټرافيک افشا کړي چیرې چې پراکسي د خوندي اړیکو د کوډ کولو او معاینې لپاره ترتیب شوی وي.
د ټرافیک پورې اړه لري، لیک شوي معلومات کې د کارونکي نومونه، پاسورډونه، د سیشن کوکیز، د تصدیق نښه، API کیلي، او نور حساس معلومات شامل دي.
زیانمنتیا د 6.5 د CVSS نمرې سره د منځنۍ شدت درجه ترلاسه کړې.
که څه هم یو برید کونکی اغیزمن پراکسي ته معتبر لاسرسي ته اړتیا لري، قربانیان اړتیا نلري چې د دوی د معلوماتو د افشا کیدو لپاره هیڅ شی کلیک کړي یا کوم اقدام وکړي.
نیمګړتیا یوازې د معلوماتو لیدلو ته اجازه ورکوي. دا د ډیټا بدلولو یا پراکسي سرور خرابولو لپاره نشي کارول کیدی.
پدې اړه یو څه ګډوډي شتون لري چې د سکویډ کومه نسخه په بشپړ ډول زیان منونکي حل کوي.
د سکویډ پراختیا کونکي په پیل کې وویل چې پیچ په 7.6 نسخه کې شامل شوی مخکې لدې چې وروسته یې وویل چې دا به په 7.7 نسخه کې راشي. په هرصورت، د Debian امنیت پراختیا کونکي یادونه وکړه چې فکس داسې ښکاري چې لا دمخه په Squid 7.6 کې شتون لري.
د دې ناڅرګندتیا له امله، مدیران باید تایید کړي چې د دوی نصب شوي بسته کې امنیتي پیچ شامل دی نه یوازې د نسخې شمیرې باندې تکیه کول. د لینکس ځینې توزیع ممکن د بیک پورټ شوي امنیت تازه معلوماتو له لارې هم فکس چمتو کړي ، حتی که دوی د زوړ سکویډ ریلیز کاروي.
Squid 7.6 د CVE-2026-50012 په توګه تعقیب شوي غیر اړونده حافظه فساد زیانمنونکي هم حل کوي.
څیړونکي وړاندیز کوي چې د FTP ملاتړ غیر فعال کړئ که اړتیا نه وي.
ډیری عصري ویب براوزرونو څو کاله دمخه د FTP ملاتړ بند کړ، او ډیری سازمانونه نور په پروتوکول تکیه نه کوي. د FTP غیر فعال کول د برید لاره لرې کوي چې د Squidbleed لخوا کارول کیږي، پرته لدې چې د سافټویر وروستی تازه نصب شوی وي.
وروستي تخنیکي خبرونه، د مخابراتو بصیرت، او د محصول لانچ هرچیرې چې تاسو غوره کوئ ترلاسه کړئ.
په غوره سرچینو کې پروپاکستاني اضافه کړئ او زموږ نور کیسې په ګوګل لټون او غوره کیسو کې وګورئ.
ونډې
