Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Cloudflare (CVE-2026-2833)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/03/2026
Última modificación:
12/03/2026

Descripción

Se encontró una vulnerabilidad de contrabando de solicitudes HTTP (CWE-444) en el manejo de Pingora de las actualizaciones de conexión HTTP/1.1. El problema ocurre cuando un proxy de Pingora lee una solicitud que contiene un encabezado Upgrade, haciendo que el proxy pase el resto de los bytes de la conexión a un backend antes de que el backend haya aceptado la actualización. Un atacante puede así reenviar directamente una carga útil maliciosa después de una solicitud con un encabezado Upgrade a ese backend de una manera que puede ser interpretada como un encabezado de solicitud subsiguiente, eludiendo los controles de seguridad a nivel de proxy y permitiendo el secuestro de sesión entre usuarios.<br /> <br /> Impacto<br /> <br /> Esta vulnerabilidad afecta principalmente a implementaciones de Pingora independientes donde un proxy de Pingora está expuesto al tráfico externo. Un atacante podría explotar esto para:<br /> <br /> * Eludir los controles ACL a nivel de proxy y la lógica WAF<br /> <br /> * Envenenar cachés y conexiones ascendentes, haciendo que las solicitudes subsiguientes de usuarios legítimos reciban respuestas destinadas a solicitudes de contrabando<br /> <br /> * Realizar ataques entre usuarios secuestrando sesiones o contrabandeando solicitudes que parecen originarse de la IP del proxy de confianza<br /> <br /> La infraestructura CDN de Cloudflare no se vio afectada por esta vulnerabilidad, ya que los proxies de entrada en la pila CDN mantienen límites de análisis HTTP adecuados y no cambian prematuramente al modo de reenvío de conexión actualizada.<br /> <br /> Mitigación:<br /> <br /> Los usuarios de Pingora deberían actualizar a Pingora v0.8.0 o superior<br /> <br /> Como solución alternativa, los usuarios pueden devolver un error en solicitudes con el encabezado Upgrade presente en su lógica de filtro de solicitudes para detener el procesamiento de bytes más allá del encabezado de la solicitud y deshabilitar la reutilización de la conexión descendente.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:H/SI:H/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:H/SI:H/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Ninguno

Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cloudflare:pingora:*:*:*:*:*:*:*:* 0.8.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información