Tinyproxy 是一个开源 HTTP 和 HTTPS 代理服务器，旨在快速、小型和轻量级。它专为类 UNIX 操作系统量身定制，通常由小型企业、公共 WiFi 提供商和家庭用户使用。

　　Cisco的报告分享了有关该漏洞的详细信息，包括导致服务器崩溃并可能导致远程代码执行的概念验证漏洞。

　　Talos 研究人员在报告中解释说，该缺陷发生在“remove_connection_headers()”函数中免费代理手机ip，其中特定的 HTTP 标头（连接和代理连接）未得到正确管理，导致内存被释放，然后再次错误地访问。可以通过简单的格式错误的 HTTP 请求（例如，连接：连接）轻松利用此漏洞，而无需进行身份验证。

　　Cisco披露该漏洞五天后，Tinyproxy 发布了 CVE-2023-49606 的修复程序，该修复程序根据需要调整内存管理以防止被利用。

　　然而，Tinyproxy 对Cisco正确披露该错误的说法提出异议，称他们从未通过该项目要求的披露渠道收到报告。

　　包含安全修复程序的提交 (12a8484) 位于版本 1.11.2 中，但有紧急需要的人可以从 master 分支中提取更改或手动应用突出显示的修复程序。

　　Tinyproxy 说道：“如果 tinyproxy 使用 musl libc 1.2+（其强化内存分配器会自动检测 UAF），或者使用地址清理程序构建，那么它会允许对服务器进行 DOS 攻击。”

　　开发人员还指出，更新的代码仅在通过身份验证和访问列表检查后才会触发，这意味着该漏洞可能不会影响所有设置，特别是在企业网络等受控环境中或使用带有安全密码的基本身份验证的设置。