The Cloudflare Blog
·
修复Pingora开源框架中的请求走私漏洞
💡
原文英文,约1800词,阅读约需7分钟。
📝
内容提要
2025年12月,Cloudflare发现Pingora框架存在HTTP/1.x请求走私漏洞,编号CVE-2026-2833、CVE-2026-2835和CVE-2026-2836。虽然Cloudflare的CDN未受影响,但建议Pingora用户尽快升级至0.8.0版本以修复这些漏洞。
🎯
关键要点
- 2025年12月,Cloudflare发现Pingora框架存在HTTP/1.x请求走私漏洞,编号CVE-2026-2833、CVE-2026-2835和CVE-2026-2836。
- Cloudflare的CDN未受影响,但建议Pingora用户尽快升级至0.8.0版本以修复这些漏洞。
- 漏洞影响独立的Pingora部署,可能导致攻击者绕过安全控制、进行会话劫持或缓存中毒。
- 漏洞的根本原因在于Pingora对HTTP请求体的非RFC合规解释,导致了请求体的错误解析。
- 攻击者可以通过不当的请求升级和传输编码引发请求走私攻击。
- Pingora的默认缓存键构造存在问题,可能导致缓存中毒,已被移除。
- Cloudflare对Pingora进行了修复,并强调严格遵循RFC标准以增强安全性。
- 漏洞披露和响应时间线包括多个关键日期,从漏洞报告到Pingora 0.8.0版本发布。
➡️
