Vulnerabilidad en Cloudflare (CVE-2026-2835)

Una vulnerabilidad de contrabando de solicitudes HTTP (CWE-444) ha sido encontrada en el análisis de Pingora de solicitudes HTTP/1.0 y Transfer-Encoding. El problema ocurre debido a permitir incorrectamente que los cuerpos de solicitudes HTTP/1.0 sean delimitados por cierre y al manejo incorrecto de múltiples valores de Transfer-Encoding, permitiendo a los atacantes enviar solicitudes HTTP/1.0 de una manera que desincronizaría el encuadre de solicitudes de Pingora con el de los servidores backend.<br /> <br /> Impacto<br /> <br /> Esta vulnerabilidad afecta principalmente a implementaciones de Pingora independientes frente a ciertos backends que aceptan solicitudes HTTP/1.0. Un atacante podría crear una carga útil maliciosa siguiendo esta solicitud que Pingora reenvía al backend con el fin de:<br /> <br /> * Omitir los controles ACL a nivel de proxy y la lógica WAF<br /> <br /> * Envenenar cachés y conexiones ascendentes, causando que solicitudes posteriores de usuarios legítimos reciban respuestas destinadas a solicitudes de contrabando<br /> <br /> * Realizar ataques entre usuarios secuestrando sesiones o contrabandeando solicitudes que parecen originarse de la IP del proxy de confianza<br /> <br /> La infraestructura CDN de Cloudflare no se vio afectada por esta vulnerabilidad, ya que sus capas de proxy de entrada solo reenviaban solicitudes HTTP/1.1, rechazaban el encuadre ambiguo, como valores Content-Length inválidos, y reenviaban un único encabezado Transfer-Encoding: chunked para solicitudes chunked.<br /> <br /> Mitigación:<br /> <br /> Los usuarios de Pingora deberían actualizar a Pingora v0.8.0 o superior que corrige este problema analizando correctamente los encabezados de longitud de mensaje según RFC 9112 y adhiriéndose estrictamente a más directrices de RFC, incluyendo que los cuerpos de solicitudes HTTP nunca son delimitados por cierre.<br /> <br /> Como solución alternativa, los usuarios pueden rechazar ciertas solicitudes con un error en la lógica del filtro de solicitudes con el fin de detener el procesamiento de bytes en la conexión y deshabilitar la reutilización de la conexión descendente. El usuario debería rechazar cualquier solicitud que no sea HTTP/1.1, o una solicitud que tenga Content-Length inválido, múltiples encabezados Transfer-Encoding, o un encabezado Transfer-Encoding que no sea una coincidencia exacta de la cadena &amp;#39;chunked&amp;#39;.