Squidi veebipuhverserveris avastati 29 aastat vana turvanõrkus nimega Squidbleed (CVE-2026-47729), mis võimaldab volitatud puhverserveri kasutajal kätte saada teise kasutaja krüpteerimata HTTP-päringute katkeid, sealhulgas paroole ja sessioonimärgiseid. Turvanõrkuse avastamise eest tänati Anthropicu tehisintellekti Claude Mythos Preview.
Squidi sõnul on tegemist usaldusväärse kliendi rünnakuga — ründajaks on keegi, kellel on juba luba puhverserverit kasutada, näiteks koolide, kontorite või avaliku WiFi-võrgu kasutajate seas. Leke puudutab ainult liiklust, mida Squid suudab lugeda: tavaline HTTPS jääb CONNECT-tunneli sisse peidetuks, kuid krüpteerimata HTTP ja TLS-i lõpetavad seadistused on haavatavad. Ründaja peab samuti suutma puhverserveri kaudu ühenduda enda kontrollitud FTP-serveriga pordis 21, mis on vaikimisi lubatud.
Parandus on väike — null-lõpetaja kontroll enne haavatavaid strchr-väljakutseid failis FtpGateway.cc. Hooldajate avaldused selle kohta, kas parandus jõudis versiooni 7.6 või 7.7, on olnud vasturääkivad. Turvauurijad soovitavad lihtsalt FTP välja lülitada, kuna Chromium loobus sellest aastaid tagasi. SUSE hindab riski mõõdukaks (CVSS 6,5) — mõju on vaid konfidentsiaalsusele.