The Cloudflare Blog
·
修复Pingora开源框架中的请求走私漏洞
内容提要
2025年12月,Cloudflare发现Pingora框架存在HTTP/1.x请求走私漏洞,编号CVE-2026-2833、CVE-2026-2835和CVE-2026-2836。虽然Cloudflare的CDN未受影响,但建议Pingora用户尽快升级至0.8.0版本以修复这些漏洞。
关键要点
-
2025年12月,Cloudflare发现Pingora框架存在HTTP/1.x请求走私漏洞,编号CVE-2026-2833、CVE-2026-2835和CVE-2026-2836。
-
Cloudflare的CDN未受影响,但建议Pingora用户尽快升级至0.8.0版本以修复这些漏洞。
-
漏洞影响独立的Pingora部署,可能导致攻击者绕过安全控制、进行会话劫持或缓存中毒。
-
漏洞的根本原因在于Pingora对HTTP请求体的非RFC合规解释,导致了请求体的错误解析。
-
攻击者可以通过不当的请求升级和传输编码引发请求走私攻击。
-
Pingora的默认缓存键构造存在问题,可能导致缓存中毒,已被移除。
-
Cloudflare对Pingora进行了修复,并强调严格遵循RFC标准以增强安全性。
-
漏洞披露和响应时间线包括多个关键日期,从漏洞报告到Pingora 0.8.0版本发布。
延伸问答
Pingora框架中的请求走私漏洞是什么?
请求走私漏洞是指攻击者可以通过不当的HTTP请求导致Pingora在解析请求体时出现错误,从而绕过安全控制或进行会话劫持。
Cloudflare的CDN是否受到Pingora漏洞的影响?
Cloudflare的CDN未受影响,因为Pingora并未作为入口代理在Cloudflare的网络中使用。
Pingora用户应该如何应对这些漏洞?
Pingora用户应尽快升级至0.8.0版本,以修复这些请求走私漏洞。
请求走私漏洞的根本原因是什么?
漏洞的根本原因在于Pingora对HTTP请求体的非RFC合规解释,导致请求体的错误解析。
Pingora的默认缓存键构造存在什么问题?
默认缓存键构造仅考虑URI路径,可能导致不同主机使用相同HTTP路径时发生缓存中毒。
Pingora 0.8.0版本的修复内容有哪些?
Pingora 0.8.0版本修复了请求走私漏洞,并加强了对RFC标准的遵循,以提高安全性。
