Krytyczna luka w ProxySQL umożliwiająca podszywanie się pod adresy IP klientów

Luka w ProxySQL pozwala na fałszowanie adresów IP klientów, co umożliwia obejście kontroli dostępu i reguł routingu. Aktualizuj do wersji 3.0.9.
CVE-2026-48772CVSS 10.0Database

Krytyczna luka w ProxySQL umożliwiająca podszywanie się pod adresy IP klientów

Luka w ProxySQL pozwala na fałszowanie adresów IP klientów, co umożliwia obejście kontroli dostępu i reguł routingu. Aktualizuj do wersji 3.0.9.

CVSS
10.0 CRITICAL
EPSS
8.25%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersjach ProxySQL od 2.0.0 do 3.0.8 frontend MySQL błędnie parsuje nagłówki protokołu PROXY, pozwalając na fałszowanie adresów IP klientów. Atakujący mogą dzięki temu obejść reguły routingu i kontroli dostępu oparte na adresie klienta.

Wpływ biznesowy

Luka umożliwia atakującemu, który ma dostęp do portu frontendowego ProxySQL, podszywanie się pod dowolny adres IP klienta. W praktyce pozwala to na obejście mechanizmów rozdzielania ruchu, kontroli dostępu i reguł filtrowania zapytań, co może prowadzić do nieautoryzowanego dostępu do baz danych lub niewłaściwego kierowania zapytań. Organizacje korzystające z ProxySQL powinny traktować tę lukę jako krytyczną, zwłaszcza jeśli stosują reguły oparte na adresach IP.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie ProxySQL do wersji 3.0.9 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do portu frontendowego ProxySQL wyłącznie do zaufanych sieci, przejrzeć i zweryfikować reguły routingu i kontroli dostępu oraz monitorować logi pod kątem podejrzanych aktywności związanych z fałszowaniem adresów IP.

Źródła