CVE-2026-48772: Критична уразливість підробки IP-адреси в ProxySQL

Критична уразливість в ProxySQL дозволяє підробляти IP-адреси клієнтів, обходячи маршрутизацію та ACL. Оновіть до версії 3.0.9 для захисту.
CVE-2026-48772CVSS 10.0Database

CVE-2026-48772: Критична уразливість підробки IP-адреси в ProxySQL

Критична уразливість в ProxySQL дозволяє підробляти IP-адреси клієнтів, обходячи маршрутизацію та ACL. Оновіть до версії 3.0.9 для захисту.

CVSS
10.0 CRITICAL
EPSS
8.25%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У версіях ProxySQL 2.0.0–3.0.8 фронтенд MySQL некоректно обробляє PROXY протокол з токеном UNKNOWN, що дозволяє зловмиснику підробити IP-адресу клієнта. Це призводить до обходу правил маршрутизації та контролю доступу, що може порушити розподіл навантаження та безпеку бази даних.

Бізнес-вплив

Для операторів ІТ та власників інфраструктури ця уразливість означає, що зловмисник, маючи доступ до фронтенд-порту ProxySQL, може обходити налаштування маршрутизації та ACL, що використовуються для розподілу запитів між основною та репліками, а також для обмеження доступу до критичних операцій. Це підвищує ризик несанкціонованого доступу та потенційних порушень цілісності даних.

Рекомендовані дії адміністратора

Рекомендується негайно оновити ProxySQL до версії 3.0.9 або новішої, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до фронтенд-порту ProxySQL, переглянути та посилити правила мережевого доступу, а також перевірити логи на ознаки підробки IP-адрес. Важливо також переглянути конфігурації mysql_query_rules та client_addr для мінімізації ризиків.

Джерела