CVE-2026-48772: Критична уразливість підробки IP-адреси в ProxySQL
Критична уразливість в ProxySQL дозволяє підробляти IP-адреси клієнтів, обходячи маршрутизацію та ACL. Оновіть до версії 3.0.9 для захисту.
- CVSS
- 10.0 CRITICAL
- EPSS
- 8.25%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У версіях ProxySQL 2.0.0–3.0.8 фронтенд MySQL некоректно обробляє PROXY протокол з токеном UNKNOWN, що дозволяє зловмиснику підробити IP-адресу клієнта. Це призводить до обходу правил маршрутизації та контролю доступу, що може порушити розподіл навантаження та безпеку бази даних.
Бізнес-вплив
Для операторів ІТ та власників інфраструктури ця уразливість означає, що зловмисник, маючи доступ до фронтенд-порту ProxySQL, може обходити налаштування маршрутизації та ACL, що використовуються для розподілу запитів між основною та репліками, а також для обмеження доступу до критичних операцій. Це підвищує ризик несанкціонованого доступу та потенційних порушень цілісності даних.
Рекомендовані дії адміністратора
Рекомендується негайно оновити ProxySQL до версії 3.0.9 або новішої, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до фронтенд-порту ProxySQL, переглянути та посилити правила мережевого доступу, а також перевірити логи на ознаки підробки IP-адрес. Важливо також переглянути конфігурації mysql_query_rules та client_addr для мінімізації ризиків.