CVE-2026-27587

Nome do Software Vulnerável e Versões Afetadas Versões do Caddy anteriores à 2.11.1

Descrição O matcher de caminho de solicitação HTTP do Caddy é destinado a ser insensível a maiúsculas e minúsculas, mas quando o padrão de correspondência contém sequências de escape percentual (%xx), ele compara com o caminho escapado da solicitação sem converter para minúsculas. Isso pode permitir que um atacante contorne o roteamento baseado em caminho e quaisquer controles de acesso associados a essa rota ao alterar a capitalização do caminho da solicitação. O problema ocorre porque r.URL.EscapedPath() não é convertido para minúsculas, levando a diferenças de maiúsculas e minúsculas no caminho da solicitação, fazendo com que a correspondência do caminho escapado falhe, mesmo que o MatchPath seja destinado a ser insensível a maiúsculas e minúsculas. Um atacante pode contornar as restrições de rota ao alterar a capitalização do caminho da solicitação.

Recomendações Atualize para a versão 2.11.1 do Caddy ou posterior.