Το Cloudflare κυκλοφόρησε την έκδοση 0.8.0 του πλαισίου ανοιχτού κώδικα Pingora για να επιδιορθώσει τρία κρίσιμα τρωτά σημεία: CVE-2026-2833, CVE-2026-2835 και CVE-2026-2836.
Αυτά τα ελαττώματα επιτρέπουν το λαθρεμπόριο αιτημάτων HTTP και τη δηλητηρίαση της κρυφής μνήμης, αποτελώντας σοβαρή απειλή για αυτόνομες αναπτύξεις Pingora που εκτίθενται απευθείας στο Διαδίκτυο.
Η Cloudflare επιβεβαίωσε ότι το δικό της Δίκτυο Παράδοσης Περιεχομένου (CDN) και η επισκεψιμότητα πελατών δεν επηρεάστηκαν εντελώς από αυτά τα ζητήματα, καθώς η εσωτερική της υποδομή δεν αναπτύσσει το Pingora ως άμεσα εκτεθειμένο διακομιστή μεσολάβησης εισόδου.
Τρωτά σημεία στο πλαίσιο Pingora
Τα τρωτά σημεία, τα οποία ανακαλύφθηκαν και αναφέρθηκαν από τον ερευνητή ασφαλείας Rajat Raghav μέσω του Προγράμματος Bug Bounty του Cloudflare, έχουν αξιολογήσεις κρίσιμης σοβαρότητας (έως 9,3 στα 10).
Εάν αφεθούν χωρίς επιδιόρθωση, επιτρέπουν στους εισβολείς να παρακάμπτουν Λίστες Ελέγχου Πρόσβασης σε επίπεδο διακομιστή μεσολάβησης (ACL) και Τείχη προστασίας εφαρμογών Ιστού (WAF), να παραβιάζουν συνεδρίες μεταξύ χρηστών και να δηλητηριάζουν συνδέσεις ανάντη.
.webp.jpeg)
Πρόωρες αναβαθμίσεις σύνδεσης (CVE-2026-2833)
Η πρώτη ευπάθεια προέρχεται από τον χειρισμό των αιτημάτων αναβάθμισης σύνδεσης HTTP/1.1 από το Pingora.
Όταν το Pingora έλαβε μια κεφαλίδα “Αναβάθμιση”, άλλαξε αμέσως σε λειτουργία διέλευσης προτού ο διακομιστής υποστήριξης επιβεβαιώσει επίσημα την αναβάθμιση με μια απόκριση “101 Πρωτόκολλα Εναλλαγής”.
Οι εισβολείς θα μπορούσαν να εκμεταλλευτούν αυτό το πρόωρο διακόπτη προσθέτοντας ένα κρυφό δεύτερο αίτημα στο αρχικό τους ωφέλιμο φορτίο.
Το Pingora θα προωθούσε κατά λάθος αυτό το παράνομο αίτημα απευθείας στο backend, παρακάμπτοντας τελείως τους ελέγχους ασφαλείας σε επίπεδο διακομιστή μεσολάβησης και πιθανώς παραβιάζοντας τις επόμενες συνεδρίες χρήστη.
HTTP/1.0 και σφάλματα κωδικοποίησης μεταφοράς (CVE-2026-2835)
Το δεύτερο ελάττωμα αφορά τη μη συμβατή ανάλυση από το Pingora παλαιότερων αιτημάτων HTTP/1.0.
Το Pingora επέτρεψε λανθασμένα να οριοθετηθούν στενά τα σώματα αιτημάτων HTTP/1.0 και να χειριστεί λανθασμένα τις κεφαλίδες “Transfer-Encoding: chunked”.
Επειδή το Pingora και ο διακομιστής υποστήριξης ερμήνευσαν διαφορετικά το μήκος του σώματος του αιτήματος, οι εισβολείς μπορούσαν σκόπιμα να αποσυγχρονίσουν το πλαίσιο σύνδεσης.
Αυτή η κλασική επίθεση αποσυγχρονισμού HTTP επιτρέπει σε κακόβουλα ωφέλιμα φορτία να περάσουν από τον διακομιστή μεσολάβησης χωρίς να εντοπιστούν.
Προεπιλεγμένη δηλητηρίαση κλειδιού κρυφής μνήμης (CVE-2026-2836)
Η τελική ευπάθεια σχετίζεται με ένα ελάττωμα σχεδιασμού στην προεπιλεγμένη κατασκευή κλειδιού κρυφής μνήμης του Pingora.
.webp.jpeg)
Η προεπιλεγμένη υλοποίηση δημιούργησε κλειδιά κρυφής μνήμης που βασίζονται αποκλειστικά στη διαδρομή Uniform Resource Identifier (URI), αγνοώντας κρίσιμους διαφοροποιητές όπως η κεφαλίδα του κεντρικού υπολογιστή ή το σχήμα HTTP.
Επειδή απέτυχε να κάνει διάκριση μεταξύ διαφορετικών κεντρικών υπολογιστών που μοιράζονται την ίδια διαδρομή URI, οι εισβολείς μπορούσαν εύκολα να αναγκάσουν τις συγκρούσεις της κρυφής μνήμης, προκαλώντας τους νόμιμους χρήστες να λαμβάνουν αλληλοπροέλευσης ή κακόβουλες απαντήσεις.
Το Cloudflare συνιστά ανεπιφύλακτα σε όλους τους οργανισμούς χρησιμοποιώντας αυτόνομους διακομιστή μεσολάβησης Pingora εφαρμόστε τους ακόλουθους μετριασμούς:
Άμεση ενημέρωση: Αναβαθμίστε όλες τις αναπτύξεις Pingora στην έκδοση 0.8.0 ή νεότερη για να διορθώσετε τη λογική ανάλυσης και να επιβάλετε αυστηρή συμμόρφωση με το RFC.
Εφαρμογή προσαρμοσμένων κλειδιών προσωρινής μνήμης: Δεδομένου ότι η έκδοση 0.8.0 καταργεί το μη ασφαλές προεπιλεγμένο κλειδί κρυφής μνήμης, οι χρήστες πρέπει να εφαρμόσουν μια προσαρμοσμένη επανάκληση που περιλαμβάνει την κεφαλίδα του κεντρικού υπολογιστή, το σύστημα ανάντη HTTP και τη διαδρομή URI για να διασφαλιστεί η σωστή απομόνωση της κρυφής μνήμης.
Προσωρινές λύσεις: Εάν η αναβάθμιση δεν είναι άμεσα δυνατή, διαμορφώστε τη λογική του φίλτρου αιτήματος για να εμφανιστεί ένα σφάλμα σε οποιοδήποτε αίτημα που περιέχει μια κεφαλίδα “Αναβάθμιση”.3.
Επιπλέον, απορρίψτε τυχόν αιτήματα που δεν είναι HTTP/1.1 ή αιτήματα με μη έγκυρες κεφαλίδες μήκους περιεχομένου.
