ID CVE-2019-18678
Summary An issue was discovered in Squid 3.x and 4.x through 4.8. It allows attackers to smuggle HTTP requests through frontend software to a Squid instance that splits the HTTP Request pipeline differently. The resulting Response messages corrupt caches (between a client and Squid) with attacker-controlled content at arbitrary URLs. Effects are isolated to software between the attacker client and Squid. There are no effects on Squid itself, nor on any upstream servers. The issue is related to a request header containing whitespace between a header name and a colon.
References
Vulnerable Configurations
  • cpe:2.3:a:squid-cache:squid:3.0:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0:-:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0:-:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0:-:pre1:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0:-:pre1:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0:-:pre2:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0:-:pre2:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0:-:pre3:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0:-:pre3:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0:-:pre4:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0:-:pre4:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0:-:pre5:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0:-:pre5:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0:-:pre6:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0:-:pre6:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0:-:pre7:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0:-:pre7:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0:rc4:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0:rc4:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable5:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable5:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable6:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable6:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable7:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable7:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable8:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable8:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable9:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable9:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable10:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable10:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable11:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable11:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable11:rc1:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable11:rc1:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable12:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable12:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable13:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable13:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable14:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable14:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable15:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable15:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable16:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable16:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable16:rc1:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable16:rc1:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable17:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable17:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable18:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable18:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable19:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable19:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable20:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable20:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable21:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable21:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable22:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable22:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable23:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable23:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable24:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable24:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.0.stable25:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.0.stable25:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.6:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.7:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.8:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.8:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.9:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.9:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.10:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.10:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.11:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.11:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.12:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.12:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.13:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.13:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.14:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.14:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.15:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.15:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.16:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.16:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.17:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.17:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.0.18:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.0.18:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.5:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.5:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.6:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.6:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.7:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.7:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.8:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.8:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.9:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.9:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.10:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.10:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.11:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.11:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.12:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.12:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.12.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.12.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.12.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.12.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.12.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.12.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.13:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.13:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.14:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.14:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.15:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.15:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.16:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.16:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.21:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.21:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.22:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.22:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.1.23:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.1.23:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.6:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.7:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.8:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.8:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.9:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.9:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.10:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.10:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.11:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.11:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.12:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.12:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.13:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.13:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.14:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.14:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.15:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.15:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.16:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.16:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.17:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.17:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.18:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.18:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.0.19:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.0.19:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.5:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.5:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.6:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.6:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.7:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.7:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.8:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.8:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.9:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.9:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.10:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.10:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.11:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.11:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.12:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.12:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.13:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.13:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.2.14:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.2.14:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.6:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.6:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.7:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.7:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.8:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.8:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.9:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.9:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.10:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.10:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.11:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.11:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.12:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.12:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.13:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.13:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.3.14:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.3.14:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.5:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.5:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.6:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.6:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.7:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.7:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.8:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.8:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.9:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.9:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.10:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.10:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.11:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.11:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.12:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.12:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.13:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.13:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.4.14:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.4.14:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.5:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.5:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.6:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.6:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.7:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.7:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.8:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.8:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.9:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.9:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.10:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.10:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.11:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.11:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.12:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.12:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.13:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.13:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.14:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.14:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.15:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.15:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.16:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.16:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.17:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.17:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.18:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.18:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.19:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.19:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.20:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.20:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.21:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.21:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.22:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.22:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.23:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.23:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.24:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.24:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.25:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.25:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.26:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.26:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.27:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.27:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:3.5.28:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:3.5.28:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.6:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.8:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.8:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.9:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.9:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.10:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.10:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.11:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.11:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.12:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.12:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.13:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.13:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.14:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.14:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.15:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.15:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.16:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.16:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.17:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.17:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.18:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.18:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.19:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.19:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.20:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.20:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.21:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.21:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.22:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.22:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.23:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.23:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.24:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.24:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.0.25:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.0.25:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.3:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.4:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.4:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.6:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.6:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.7:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.7:*:*:*:*:*:*:*
  • cpe:2.3:a:squid-cache:squid:4.8:*:*:*:*:*:*:*
    cpe:2.3:a:squid-cache:squid:4.8:*:*:*:*:*:*:*
  • cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
    cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
  • cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
    cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
  • cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:*
    cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:*
  • cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:*
    cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:*
  • cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
    cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
CVSS
Base: 5.0 (as of 11-07-2020 - 00:15)
Impact:
Exploitability:
CWE CWE-444
CAPEC
  • HTTP Request Splitting
    HTTP Request Splitting (also known as HTTP Request Smuggling) is an attack pattern where an attacker attempts to insert additional HTTP requests in the body of the original (enveloping) HTTP request in such a way that the browser interprets it as one request but the web server interprets it as two. There are several ways to perform HTTP request splitting attacks. One way is to include double Content-Length headers in the request to exploit the fact that the devices parsing the request may each use a different header. Another way is to submit an HTTP request with a "Transfer Encoding: chunked" in the request header set with setRequestHeader to allow a payload in the HTTP Request that can be considered as another HTTP Request by a subsequent parsing entity. A third way is to use the "Double CR in an HTTP header" technique. There are also a few less general techniques targeting specific parsing vulnerabilities in certain web servers.
  • HTTP Request Smuggling
    HTTP Request Smuggling results from the discrepancies in parsing HTTP requests between HTTP entities such as web caching proxies or application firewalls. Entities such as web servers, web caching proxies, application firewalls or simple proxies often parse HTTP requests in slightly different ways. Under specific situations where there are two or more such entities in the path of the HTTP request, a specially crafted request is seen by two attacked entities as two different sets of requests. This allows certain requests to be smuggled through to a second entity without the first one realizing it.
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
NONE PARTIAL NONE
cvss-vector via4 AV:N/AC:L/Au:N/C:N/I:P/A:N
redhat via4
rpms
  • libecap-0:1.0.1-2.module+el8.1.0+4044+36416a77
  • libecap-debuginfo-0:1.0.1-2.module+el8.1.0+4044+36416a77
  • libecap-debugsource-0:1.0.1-2.module+el8.1.0+4044+36416a77
  • libecap-devel-0:1.0.1-2.module+el8.1.0+4044+36416a77
  • squid-7:4.11-3.module+el8.3.0+7851+7808b5f9
  • squid-debuginfo-7:4.11-3.module+el8.3.0+7851+7808b5f9
  • squid-debugsource-7:4.11-3.module+el8.3.0+7851+7808b5f9
refmap via4
confirm
debian DSA-4682
fedora
  • FEDORA-2019-0b16cbdd0e
  • FEDORA-2019-9538783033
gentoo GLSA-202003-34
misc https://github.com/squid-cache/squid/pull/445
mlist
  • [debian-lts-announce] 20191210 [SECURITY] [DLA 2028-1] squid3 security update
  • [debian-lts-announce] 20200710 [SECURITY] [DLA 2278-1] squid3 security update
ubuntu USN-4213-1
Last major update 11-07-2020 - 00:15
Published 26-11-2019 - 17:15
Last modified 11-07-2020 - 00:15
Back to Top