| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.3 | $0-$5k | 0.75 |
Zusammenfassung
Eine Schwachstelle wurde in tinyproxy bis 1.11.3 ausgemacht. Sie wurde als problematisch eingestuft. Das betrifft die Funktion strtol der Komponente Chunk Handler. Durch das Manipulieren mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden.
Die Verwundbarkeit wird als CVE-2026-3945 geführt. Der Angriff kann über das Netzwerk angegangen werden. Es ist kein Exploit verfügbar.
Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine problematische Schwachstelle in tinyproxy bis 1.11.3 entdeckt. Es betrifft die Funktion strtol der Komponente Chunk Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-190 vorgenommen. Auswirkungen sind zu beobachten für die Verfügbarkeit. CVE fasst zusammen:
An integer overflow vulnerability in the HTTP chunked transfer encoding parser in tinyproxy up to and including version 1.11.3 allows an unauthenticated remote attacker to cause a denial of service (DoS). The issue occurs because chunk size values are parsed using strtol() without properly validating overflow conditions (e.g., errno == ERANGE). A crafted chunk size such as 0x7fffffffffffffff (LONG_MAX) bypasses the existing validation check (chunklen < 0), leading to a signed integer overflow during arithmetic operations (chunklen + 2). This results in incorrect size calculations, causing the proxy to attempt reading an extremely large amount of request-body data and holding worker connections open indefinitely. An attacker can exploit this behavior to exhaust all available worker slots, preventing new connections from being accepted and causing complete service unavailability. Upstream addressed this issue in commit bb7edc4; however, the latest stable release (1.11.3) remains affected at the time of publication.Die Schwachstelle wurde durch Muxammadiyev G'iyosiddin publik gemacht. Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 11.03.2026 unter CVE-2026-3945 geführt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 304365 (Linux Distros Unpatched Vulnerability : CVE-2026-3945) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 1.11.3 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (304365), EUVD (EUVD-2026-17066) und CERT Bund (WID-SEC-2026-0909) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Betroffen
- Open Source Tinyproxy
Produkt
Typ
Name
Version
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 6.4VulDB Meta Temp Score: 6.3
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 7.5
CNA Vector (TuranSec): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-190 / CWE-189
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 304365
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2026-3945
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: tinyproxy 1.11.3
Timeline
11.03.2026 CVE zugewiesen30.03.2026 Advisory veröffentlicht
30.03.2026 VulDB Eintrag erstellt
01.04.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: github.com
Person: Muxammadiyev G'iyosiddin
Status: Bestätigt
CVE: CVE-2026-3945 (🔒)
GCVE (CVE): GCVE-0-2026-3945
GCVE (VulDB): GCVE-100-354150
EUVD: 🔒
CERT Bund: WID-SEC-2026-0909 - Tinyproxy: Schwachstelle ermöglicht Denial of Service
Eintrag
Erstellt: 30.03.2026 09:42Aktualisierung: 01.04.2026 05:54
Anpassungen: 30.03.2026 09:42 (77), 30.03.2026 12:05 (1), 30.03.2026 18:54 (7), 01.04.2026 05:54 (2)
Komplett: 🔍
Cache ID: 216:FEA:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.