概要
Cloudflareは、そのオープンソースのPingoraフレームワークに存在する複数のHTTPリクエストスミッシングとキャッシュ汚染の脆弱性を公開しました。これらの脆弱性は、インターネットに直接公開されているスタンドアロンのPingoraデプロイメントに影響を及ぼします。Cloudflareは、自社のコンテンツ配信ネットワークや顧客のトラフィックは完全に安全であると確認しています。
脆弱性の詳細
これらの脆弱性は、CVE-2026-2833、CVE-2026-2835、CVE-2026-2836の識別子で追跡されています。セキュリティ研究者Rajat Raghavが3つの異なる方法でこれらの深刻な同期化攻撃を引き起こす方法を発見しました。
予期しないプロトコルアップグレード
攻撃者がHTTPの「Upgrade」ヘッダーを送信すると、Pingoraは直ちに直接パススルーモードに切り替わりました。これにより、攻撃者はアップグレードリクエストの直後に悪意のあるHTTPリクエストをパイプラインで送信できます。
HTTP/1.0フレーミングの誤解釈
Pingoraは、両方の「Content-Length」と「Transfer-Encoding」ヘッダーを含む古いHTTP/1.0リクエストを処理する際に、インターネットの厳格な標準で要求されるように不適切なリクエストを安全に拒否する代わりに、リクエストボディをクローズデリミテッドとして扱いました。
脆弱なデフォルトキャッシュキー
この脆弱性は、Pingoraがユーザーのキャッシュデータをどのように保存するかに関連していました。デフォルトのキャッシュキーの作成コードは、URLパスのみを検討し、ウェブサイトのホストやHTTPプロトコルスキームを無視していました。
影響と対策
これらの脆弱性が修正されない場合、スタンドアロンのPingoraデプロイメントを使用している組織は深刻なリスクにさらされます。
- プロキシレイヤーのセキュリティ制御をバイパスします。
- アクティブなユーザーのセッションを乗っ取り、機密情報を盗みます。
- プロキシキャッシュを汚染し、通常のユーザーに悪意のあるペイロードを配布します。
Cloudflareは、これらの脆弱性に対処するための包括的な修正を迅速に導入しました。Pingoraは現在、インターネット標準を厳格に遵守し、チャンクエンコーディングを適切に検証し、バックエンドの確認を待ってから接続をアップグレードします。
対策
セキュリティチームは以下の対策を講じるべきです:
- Pingoraフレームワークのすべてのインスタンスをバージョン0.8.0にアップグレード。
- カスタムキャッシュキー設計がホストヘッダーとHTTPスキームを含むことを確認。
- 異常なHTTP/1.0リクエストや予期しないアップグレードヘッダーを監視。