Vulnerabilidad en Cloudflare Agents (CVE-2026-1664)

Resumen<br /> <br /> Se ha encontrado una Referencia Directa Insegura a Objeto que existe en la función &amp;#39;createHeaderBasedEmailResolver()&amp;#39; dentro del SDK de Cloudflare Agents. El problema ocurre porque los encabezados &amp;#39;Message-ID&amp;#39; y &amp;#39;References&amp;#39; se analizan para derivar el agentName y el agentId de destino sin la validación adecuada o comprobaciones de origen, permitiendo a un atacante externo con control de estos encabezados enrutar el correo entrante a instancias y espacios de nombres arbitrarios de Durable Object.<br /> <br /> Causa raíz<br /> <br /> La función &amp;#39;createHeaderBasedEmailResolver()&amp;#39; carece de verificación criptográfica o validación de origen para los encabezados utilizados en la lógica de enrutamiento, permitiendo efectivamente que la entrada externa dicte el enrutamiento interno de objetos.<br /> <br /> Impacto<br /> <br /> La Referencia Directa Insegura a Objeto (IDOR) en el enrutamiento de correo electrónico permite a un atacante dirigir el correo entrante a instancias arbitrarias de Agent a través de un Message-ID falsificado.<br /> <br /> Mitigación:<br /> <br /> * PR: https://github.com/cloudflare/agents/blob/main/docs/email.md ] proporciona el contexto arquitectónico necesario para que los agentes de codificación mitiguen el problema refactorizando el resolvedor para hacer cumplir límites de identidad estrictos.<br /> * Los usuarios del SDK de Agents deben actualizar a agents@0.3.7