Falha antiga no proxy Squid, a Squidbleed, pode expor dados de usuários

A falha CVE-2026-47729, apelidada de Squidbleed, expõe dados de requisições HTTP anteriores de usuários em ambientes compartilhados, por causa de um erro no parser FTP do Squid que existe desde 1997. O problema ocorre quando o proxy lê além do limite do buffer de memória, acidentalmente acessando dados de requisições que não foram limpas, como credenciais, tokens de sessão ou chaves de API. O ataque só funciona se o invasor controlar um servidor FTP acessível ao proxy, o que limita o cenário a redes corporativas, escolas ou hotspots públicos onde múltiplos usuários usam a mesma instância do Squid. A exposição se restringe a tráfego HTTP em texto claro e ambientes onde o Squid faz o término de TLS, não afetando conexões HTTPS encaminhadas como túneis CONNECT, que são criptografadas e invisíveis ao proxy.

Embora o Squid seja amplamente usado para acelerar acesso à web por meio de cache, essa falha revela um risco silencioso em infraestruturas que ainda dependem de protocolos antigos como FTP ou HTTP sem criptografia. Muitas empresas legadas continuam transmitindo credenciais em texto claro por sistemas internos, e o Squid, por ser um componente invisível na arquitetura, muitas vezes passa despercebido em auditorias de segurança. A descoberta feita com auxílio do modelo Claude Mythos da Anthropic mostra como IA está se tornando ferramenta crítica para encontrar falhas em código antigo, onde humanos já deixaram de procurar.

Essa falha não é apenas técnica, é organizacional. Empresas que confiam em proxies como o Squid para gerenciar tráfego de rede muitas vezes não monitoram suas versões ou desativam funcionalidades obsoletas. Desativar o FTP no Squid é uma solução imediata, mas exige conhecimento de quais serviços ainda dependem dele. Em ambientes regulados, como saúde ou finanças, o vazamento de dados mesmo que parcial pode gerar violação de LGPD ou ISO 27001. O fato de a vulnerabilidade existir há 29 anos e só agora ser corrigida mostra que código aberto de baixa visibilidade pode esconder riscos críticos. A correção já está disponível nas versões 7.6 e 8, mas a realidade é que muitos proxies ainda rodam versões anteriores, especialmente em dispositivos embarcados ou sistemas legados que não recebem atualizações.