CVE-2025-4366

Nome do Software Vulnerável e Versões Afetadas Versões do Pingora anteriores à versão corrigida

Descrição Foi identificada uma vulnerabilidade de contrabando de requisição no framework de proxy do Pingora, pingora-proxy, permitindo que requisições HTTP maliciosas sejam injetadas por meio de corpos de requisição manipulados em acertos de cache. Isso leva à execução de requisição não autorizada e potencial envenenamento de cache. O problema pode levar ao contrabando de requisição nos casos em que o framework de proxy do Pingora é utilizado para cache, permitindo que um atacante manipule cabeçalhos e URLs em requisições subsequentes feitas na mesma conexão HTTP/1.1.

Recomendações Para versões anteriores à versão corrigida, atualize para a versão mais recente que inclui a correção para este problema, conforme referenciado no commit https://github.com/cloudflare/pingora/commit/fda3317ec822678564d641e7cf1c9b77ee3759ff. Como medida paliativa temporária, considere restringir o acesso ao framework pingora-proxy para minimizar o risco de exploração.