Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Cloudflare (CVE-2026-2836)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-345 Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
05/03/2026
Última modificación:
12/03/2026

Descripción

Se ha encontrado una vulnerabilidad de envenenamiento de caché en la construcción predeterminada de clave de caché del framework de proxy HTTP Pingora. El problema ocurre porque la implementación predeterminada de clave de caché HTTP genera claves de caché usando solo la ruta URI, excluyendo factores críticos como el encabezado de host (autoridad). Los operadores que dependen del valor predeterminado son vulnerables al envenenamiento de caché, y las respuestas de origen cruzado pueden ser servidas incorrectamente a los usuarios.<br /> <br /> Impacto<br /> <br /> Esta vulnerabilidad afecta a los usuarios de la característica de almacenamiento en caché de proxy alfa de Pingora que dependían de la implementación predeterminada de CacheKey. Un atacante podría explotar esto para:<br /> <br /> * Fuga de datos entre inquilinos: En implementaciones multi-inquilino, envenenar la caché para que los usuarios de un inquilino reciban respuestas en caché de otro inquilino<br /> <br /> * Ataques de envenenamiento de caché: Servir contenido malicioso a usuarios legítimos envenenando entradas de caché compartidas<br /> <br /> La infraestructura CDN de Cloudflare no se vio afectada por esta vulnerabilidad, ya que la implementación predeterminada de clave de caché de Cloudflare utiliza múltiples factores para prevenir el envenenamiento de clave de caché y nunca hizo uso del valor predeterminado proporcionado anteriormente.<br /> <br /> Mitigación:<br /> <br /> Recomendamos encarecidamente a los usuarios de Pingora que actualicen a Pingora v0.8.0 o superior, lo que elimina la implementación predeterminada insegura de clave de caché. Los usuarios ahora deben implementar explícitamente su propia función de devolución de llamada que incluya factores apropiados como el encabezado Host, el esquema HTTP del servidor de origen y otros atributos en los que su caché debería variar.<br /> <br /> Los usuarios de Pingora en versiones anteriores también pueden eliminar cualquier uso de su CacheKey predeterminada e implementar la suya propia que debería incluir como mínimo el encabezado de host / autoridad y el esquema HTTP del par ascendente.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:H/VA:N/SC:H/SI:H/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.40 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:H/VA:N/SC:H/SI:H/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Ninguno

Puntuación base 4.0
8.40
Gravedad 4.0
ALTA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
8.10
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cloudflare:pingora:*:*:*:*:*:*:*:* 0.8.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información