Squidbleed (CVE-2026-47729): bug de 29 anos no Squid Proxy vaza requisições HTTP de outros usuários

Pesquisadores da Calif.io divulgaram em junho de 2026 uma vulnerabilidade crítica no Squid Proxy denominada **Squidbleed** (CVE-2026-47729), com analogia ao famoso Heartbleed pelo mecanismo similar de vazamento de memória. A descoberta foi auxiliada pelo modelo Claude Mythos Preview da Anthropic, que identificou o bug de parser quase imediatamente.

## Detalhes Técnicos

A vulnerabilidade reside no parser FTP do Squid e causa uma leitura além do limite de um buffer de memória (heap over-read). O resultado é que dados de uma requisição HTTP anterior — potencialmente de outro usuário — podem ser expostos ao atacante, incluindo: - Credenciais em texto claro - Tokens de sessão - Dados pessoais (PII)

O bug foi introduzido em uma modificação do parser FTP em 1997 e permaneceu latente por 29 anos.

## Risco e Ambientes Afetados

O risco é maior em ambientes de **proxy compartilhado**: redes corporativas, escolas e hotspots de Wi-Fi públicos. O atacante precisa de acesso ao proxy e controle de um servidor FTP na porta 21 (habilitada por padrão). O CVSS estimado pela SUSE é 6.5 (moderado).

## Patch e Mitigação

- Patch foi integrado ao Squid versão 8 (abril de 2026) e distribuído na versão 7.6 (junho de 2026). - Mitigação imediata: **desabilitar FTP** nas configurações do Squid, já que a maioria das redes não usa mais o protocolo.

## Fonte da Descoberta

A Calif.io credita o modelo Claude Mythos Preview com a identificação do bug — reforçando o papel de agentes de IA em programas de segurança como o Project Glasswing da Anthropic.