Cloudflare's handling of a bug in interpreting IPv4-mapped IPv6 addresses

Recently, a vulnerability was reported to our bug bounty about a bug in the way some of our code interprets IPv4 addresses mapped into IPv6 addresses. Read about how Cloudflare addressed this vulnerability and what will prevent similar exploits in the future.

11月2022年，我们的漏洞赏金计划收到了一份重要而有趣的报告，报告指出某些类型的DNS记录可以用来绕过我们的网络策略，连接到服务器的环回地址（例如127.0.0.1）。我们的安全响应团队（SIRT）立即展开行动，并在报告提交后三小时内部署热补丁以防止漏洞的利用。同时，我们还进行了内部调查，以查看漏洞是否被先前利用过。最终，我们通过在代理服务中正确使用解析地址的拒绝列表，而不是DNS API响应声称的IP家族的拒绝列表来验证IP地址，来解决这个问题。我们邀请发现Cloudflare服务中的安全问题的人通过HackerOne向我们

观测云	eolink
LigaAI	Dify.AI